Der Microsoft-Koprozessor verhindert, dass Linux auf ThinkPad-Laptops gestartet wird

Vor sechs Monaten stellte Lenovo auf der CES 2022 die Laptops ThinkPad Z13 und ThinkPad Z16 vor, die AMD Ryzen PRO 6000-Prozessortechnologie zusammen mit dedizierter Radeon-Grafik verwenden. Bisher nichts Außergewöhnliches, aber es wurde kürzlich entdeckt, dass sie nicht einmal in der Lage sind, Linux in Echtzeit auszuführen.

Die Entdeckung, dass die ThinkPad Z13- und Z16-Laptops nicht in der Lage waren, Linux zu booten, wurde von Matthew Garrett gemacht , einem prominenten Entwickler und einem der größten Befürworter des sicheren Bootens unter Linux. Der Grund, warum solche Computer Linux nicht ausführen können, liegt darin, dass Microsofts eigener Coprozessor Pluto nur dem eigenen UEFI-Schlüssel des Redmond-Riesen für Windows 11 vertraut, nicht einem Linux-basierten Schlüssel eines Drittanbieters. Systemen (Microsoft UEFI CA-Schlüssel von Drittanbietern).

Mit anderen Worten, der Microsoft Pluton-Coprozessor ist so konfiguriert oder erforderlich, dass er nur den UEFI Secure Boot-Schlüssel von Windows 11 verwendet.Das bedeutet, dass Laptops nur mit der Standard-Firmwarekonfiguration laufen und andere Systeme am Starten hindern, weil sie Bootloader und Treiber als signiert markieren. mit einem Drittanbieterschlüssel als nicht vertrauenswürdig. Auch Distributionen mit „guter“ Secure-Boot-Unterstützung wie Ubuntu und Fedora passieren den Filter nicht, zudem wird auch hier das Booten von per Thunderbolt angeschlossenen Fremd-Peripheriegeräten verhindert.

Wenn Sie in der offiziellen Laptop-Liste auf der ThinkPad-Website stöbern, finden Sie die folgende Aussage: „Die Z13- und Z16-Laptops sind die ersten in der Branche, die einen in die CPU integrierten Sicherheitsprozessor implementieren, der dazu beiträgt, Bedrohungen zu beseitigen und physische Angriffe zu verhindern . Diese neue Chip-to-Cloud-Sicherheitstechnologie ist das Ergebnis einer Partnerschaft zwischen Microsoft und AMD, die neben Datenverschlüsselung und biometrischer Sicherheit so einzigartig wie Ihre persönliche DNA ist.“

Abgesehen von biometrischen Authentifizierungsproblemen weist Matthew Garrett ausdrücklich darauf hin, dass das Verhindern des Ladens von Drittanbieterschlüsseln keinen Sicherheitsvorteil bringt und nur dazu dient, Startbarrieren für Betriebssystemalternativen zu schaffen. Der Entwickler erinnert sich, dass „die vollständige UEFI Secure Boot-Architektur Sicherheit bietet, ohne die Wahl des Betriebssystems durch den Benutzer zu beeinträchtigen“.

Secure Boot ist eine Funktion, die schon immer umstritten war, nicht nur in Windows. Einige sehen darin eher eine Anbietersperre als eine echte Sicherheitsfunktion, eine Ansicht, die zumindest in einigen Fällen durch die Entdeckung gestützt wurde, dass Ubuntu sie außerhalb der Spezifikation selbst unterstützt .

Eine weitere Episode ist das Lockdown -Sicherheitsmodul , das nach sieben Jahren Diskussionen zwischen Matthew Garrett und Linus Torvalds, dem Schöpfer des Linux-Kernels, schließlich in Linux aufgenommen wurde. Der Grund für diese langwierige Diskussion, die zeitweise sehr wütend wurde, war vor allem, dass Garrett darauf bestand, Lockdown mit Secure Boot zu verknüpfen, während Torvalds wegen der möglichen unvorhergesehenen Konsequenzen dagegen war. Am Ende gelang es dem Schöpfer von Linux, seinen Standpunkt klar zu machen, und die Bindung von Lockdown an Secure Boot wurde als optionales Feature belassen.

Abgesehen von der Kontroverse um die Ausführung von Linux auf den ThinkPad Z13- und ThinkPad Z16-Laptops bleibt eine Karte, um die Axt zu nehmen und den sicheren Start aus der Verpackung zu deaktivieren. Dies sollte die Barriere beseitigen, die alternative Betriebssysteme daran hindert, zu laufen, aber wer weiß, was die Folgen auf diesen Computern mit einem Microsoft Pluto-Coprozessor in der Mitte sein könnten, weil der Signaturprüfungsprozess nicht mehr vorhanden sein sollte, aber Linux vielleicht immer noch nicht wegen Hardware-Inkompatibilität booten.