Koprocesor Microsoft uniemożliwia uruchamianie Linuksa na laptopach ThinkPad
Sześć miesięcy temu na targach CES 2022 Lenovo zaprezentowało laptopy ThinkPad Z13 i ThinkPad Z16, które wykorzystują technologię procesorową AMD Ryzen PRO 6000 wraz z dedykowaną grafiką Radeon. Jak dotąd nic niezwykłego, ale ostatnio odkryto, że nie są w stanie uruchomić Linuksa nawet w czasie rzeczywistym.
Odkrycia, że laptopy ThinkPad Z13 i Z16 nie są w stanie uruchomić Linuksa, dokonał Matthew Garrett , wybitny programista i jeden z największych zwolenników bezpiecznego uruchamiania systemu Linux. Powodem, dla którego takie komputery nie mogą uruchomić Linuksa, jest to, że własny koprocesor Microsoftu, Pluto, ufa tylko własnemu kluczowi UEFI giganta z Redmond dla Windows 11, a nie kluczowi opartemu na Linuksie innej firmy. systemy (klucz Microsoft UEFI CA innej firmy).
Innymi słowy, koprocesor Microsoft Pluton jest skonfigurowany lub wymagany tylko do korzystania z klucza bezpiecznego rozruchu UEFI systemu Windows 11. Oznacza to, że laptopy działają tylko z domyślną konfiguracją oprogramowania układowego i uniemożliwiają uruchamianie innych systemów, ponieważ oznaczają one programy ładujące i sterowniki jako podpisane. z kluczem innej firmy jako niezaufany. Nawet dystrybucje z „dobrą” obsługą bezpiecznego rozruchu, takie jak Ubuntu i Fedora, nie przechodzą przez filtr, a ponadto w tym przypadku niemożliwe jest uruchamianie z dowolnego urządzenia peryferyjnego innej firmy podłączonego przez Thunderbolt.
Jeśli zajrzysz do oficjalnej listy laptopów na stronie ThinkPad , znajdziesz następujące stwierdzenie: „Laptopy Z13 i Z16 są pierwszymi w branży, w których zastosowano procesor bezpieczeństwa wbudowany w procesor, który pomaga wyeliminować zagrożenie i zapobiegać atakom fizycznym . Ta nowa technologia bezpieczeństwa chip-to-cloud jest wynikiem współpracy firm Microsoft i AMD, która działa równolegle z szyfrowaniem danych i zabezpieczeniami biometrycznymi, tak wyjątkowymi, jak Twoje osobiste DNA”.
Oprócz problemów z uwierzytelnianiem biometrycznym, Matthew Garrett wyraźnie stwierdza, że zapobieganie ładowaniu kluczy innych firm nie zapewnia żadnych korzyści w zakresie bezpieczeństwa i służy jedynie do tworzenia barier na początku alternatywnych systemów operacyjnych. Deweloper przypomina, że „pełna architektura UEFI Secure Boot zapewnia bezpieczeństwo bez narażania wyboru systemu operacyjnego przez użytkownika”.
Secure Boot to funkcja, która zawsze budziła kontrowersje, nie tylko w systemie Windows. Niektórzy postrzegają to raczej jako blokadę dostawcy niż prawdziwą funkcję bezpieczeństwa. Pogląd ten, przynajmniej w niektórych przypadkach, został wzmocniony odkryciem, że Ubuntu obsługuje go poza samą specyfikacją .
Kolejnym odcinkiem jest moduł bezpieczeństwa Lockdown , który został ostatecznie włączony do Linuksa po siedmiu latach dyskusji między Matthew Garrettem a Linusem Torvaldsem, twórcą jądra Linuksa. Powodem tej przedłużającej się dyskusji, która czasami stawała się bardzo zła, było głównie to, że Garrett nalegał na połączenie Lockdown z Bezpiecznym rozruchem, podczas gdy Torvalds był temu przeciwny z powodu możliwych nieprzewidzianych konsekwencji, które mogą się z tym wiązać. W końcu twórca Linuksa zdołał przekazać swój punkt widzenia, a powiązanie Lockdown z Bezpiecznym rozruchem zostało pozostawione jako funkcja opcjonalna.
Oprócz kontrowersji związanych z uruchomieniem Linuksa na laptopach ThinkPad Z13 i ThinkPad Z16, pozostaje karta do wyjęcia siekiery i wyłączenia bezpiecznego rozruchu po wyjęciu z pudełka. Powinno to usunąć barierę, która uniemożliwia uruchamianie alternatywnych systemów operacyjnych, ale kto wie, jakie konsekwencje mogą mieć te komputery z koprocesorem Microsoft Pluto w środku, ponieważ proces weryfikacji podpisów nie powinien już być obecny, ale być może Linux nadal nie rozruch z powodu niezgodności sprzętowej.
Dodaj komentarz