Koprocesor Microsoft uniemożliwia uruchamianie Linuksa na laptopach ThinkPad

Sześć miesięcy temu na targach CES 2022 Lenovo zaprezentowało laptopy ThinkPad Z13 i ThinkPad Z16, które wykorzystują technologię procesorową AMD Ryzen PRO 6000 wraz z dedykowaną grafiką Radeon. Jak dotąd nic niezwykłego, ale ostatnio odkryto, że nie są w stanie uruchomić Linuksa nawet w czasie rzeczywistym.

Odkrycia, że ​​laptopy ThinkPad Z13 i Z16 nie są w stanie uruchomić Linuksa, dokonał Matthew Garrett , wybitny programista i jeden z największych zwolenników bezpiecznego uruchamiania systemu Linux. Powodem, dla którego takie komputery nie mogą uruchomić Linuksa, jest to, że własny koprocesor Microsoftu, Pluto, ufa tylko własnemu kluczowi UEFI giganta z Redmond dla Windows 11, a nie kluczowi opartemu na Linuksie innej firmy. systemy (klucz Microsoft UEFI CA innej firmy).

Innymi słowy, koprocesor Microsoft Pluton jest skonfigurowany lub wymagany tylko do korzystania z klucza bezpiecznego rozruchu UEFI systemu Windows 11. Oznacza to, że laptopy działają tylko z domyślną konfiguracją oprogramowania układowego i uniemożliwiają uruchamianie innych systemów, ponieważ oznaczają one programy ładujące i sterowniki jako podpisane. z kluczem innej firmy jako niezaufany. Nawet dystrybucje z „dobrą” obsługą bezpiecznego rozruchu, takie jak Ubuntu i Fedora, nie przechodzą przez filtr, a ponadto w tym przypadku niemożliwe jest uruchamianie z dowolnego urządzenia peryferyjnego innej firmy podłączonego przez Thunderbolt.

Jeśli zajrzysz do oficjalnej listy laptopów na stronie ThinkPad , znajdziesz następujące stwierdzenie: „Laptopy Z13 i Z16 są pierwszymi w branży, w których zastosowano procesor bezpieczeństwa wbudowany w procesor, który pomaga wyeliminować zagrożenie i zapobiegać atakom fizycznym . Ta nowa technologia bezpieczeństwa chip-to-cloud jest wynikiem współpracy firm Microsoft i AMD, która działa równolegle z szyfrowaniem danych i zabezpieczeniami biometrycznymi, tak wyjątkowymi, jak Twoje osobiste DNA”.

Oprócz problemów z uwierzytelnianiem biometrycznym, Matthew Garrett wyraźnie stwierdza, że ​​zapobieganie ładowaniu kluczy innych firm nie zapewnia żadnych korzyści w zakresie bezpieczeństwa i służy jedynie do tworzenia barier na początku alternatywnych systemów operacyjnych. Deweloper przypomina, że ​​„pełna architektura UEFI Secure Boot zapewnia bezpieczeństwo bez narażania wyboru systemu operacyjnego przez użytkownika”.

Secure Boot to funkcja, która zawsze budziła kontrowersje, nie tylko w systemie Windows. Niektórzy postrzegają to raczej jako blokadę dostawcy niż prawdziwą funkcję bezpieczeństwa. Pogląd ten, przynajmniej w niektórych przypadkach, został wzmocniony odkryciem, że Ubuntu obsługuje go poza samą specyfikacją .

Kolejnym odcinkiem jest moduł bezpieczeństwa Lockdown , który został ostatecznie włączony do Linuksa po siedmiu latach dyskusji między Matthew Garrettem a Linusem Torvaldsem, twórcą jądra Linuksa. Powodem tej przedłużającej się dyskusji, która czasami stawała się bardzo zła, było głównie to, że Garrett nalegał na połączenie Lockdown z Bezpiecznym rozruchem, podczas gdy Torvalds był temu przeciwny z powodu możliwych nieprzewidzianych konsekwencji, które mogą się z tym wiązać. W końcu twórca Linuksa zdołał przekazać swój punkt widzenia, a powiązanie Lockdown z Bezpiecznym rozruchem zostało pozostawione jako funkcja opcjonalna.

Oprócz kontrowersji związanych z uruchomieniem Linuksa na laptopach ThinkPad Z13 i ThinkPad Z16, pozostaje karta do wyjęcia siekiery i wyłączenia bezpiecznego rozruchu po wyjęciu z pudełka. Powinno to usunąć barierę, która uniemożliwia uruchamianie alternatywnych systemów operacyjnych, ale kto wie, jakie konsekwencje mogą mieć te komputery z koprocesorem Microsoft Pluto w środku, ponieważ proces weryfikacji podpisów nie powinien już być obecny, ale być może Linux nadal nie rozruch z powodu niezgodności sprzętowej.