Laptops Lenovo ThinkPad Ryzen 6000 com Microsoft Pluton se recusam a executar Linux por padrão
Na CES 2022 no início deste ano, a AMD anunciou que seus processadores Ryzen 6000 Rembrandt foram os primeiros do setor a oferecer suporte ao Microsoft Pluton. Junto com isso, a Lenovo também anunciou seus novos laptops ThinkPad Z13 e Z16 habilitados para Pluton . Esses novos ThinkPads apresentarão um processador Ryzen™ 7 PRO 6860Z personalizado.
O Microsoft Pluton é um coprocessador de segurança para PCs Windows que Redmond introduziu pela primeira vez em 2020. Junto com o TPM, o Pluton foi projetado para melhorar a segurança do sistema Windows.
Hoje, Matthew Garrett, Arquiteto de Segurança da Informação no Linux, descobriu algo interessante sobre os novos laptops Lenovo ThinkPad com Pluton. Garrett conseguiu colocar as mãos em um ThinkPad Z13 e descobriu que o dispositivo não conseguia inicializar o Linux via USB.
Concluiu-se da investigação inicial que o Pluton, devido ao Secure Boot, está configurado para aceitar apenas carregadores e drivers de inicialização do Windows, recusando-se a executar qualquer coisa que não seja o Windows. O Linux e suas distribuições usam uma Autoridade de Certificação (CA) Microsoft UEFI de terceiros para inicialização segura, e parece que o Pluton rejeitará qualquer coisa assim. Aqui está o que Matthew Garrett escreve em seu blog :
Finalmente consegui colocar minhas mãos em um Thinkpad Z13 para estudar a implementação funcional do coprocessador de segurança Pluton da Microsoft. Uma tentativa de inicializar o Linux a partir de uma unidade USB falhou por algum motivo desconhecido, mas após uma investigação mais aprofundada, o motivo ficou claro – o firmware padrão não confia em carregadores de inicialização ou drivers assinados com uma chave Microsoft UEFI CA de terceiros. Isso significa que, com a configuração de firmware padrão, nada além do Windows será inicializado. Isso também significa que você não poderá inicializar a partir de periféricos externos de terceiros conectados via Thunderbolt.
A Lenovo em um documento ( PDF ) confirma que, a partir de 2022, os certificados de terceiros são desabilitados por padrão, conforme recomendado pela Microsoft para PCs com inicialização segura. Ele observa:
As distribuições Linux usam um executável “shim” assinado pela Microsoft, que pode verificar as etapas de inicialização subsequentes que foram assinadas com a chave de distribuição. A gaxeta assinada pela Microsoft é assinada usando um “Certificado de Terceiros Microsoft UEFI” e esse certificado é armazenado no banco de dados do BIOS. A partir de 2022 para PCs principais seguros, a Microsoft exige que o certificado de terceiros seja desabilitado por padrão.
No entanto, há um lado positivo, pois as pessoas que desejam executar o Linux em um laptop Lenovo com inicialização segura podem fazê-lo ativando a opção “Permitir Microsoft 3rd Party UEFI CA” no BIOS. Aqui estão os passos:
- . Inicialize no menu de configuração do BIOS. Reinicie o computador e quando aparecer a mensagem “Para abortar a inicialização normal, pressione Enter”, pressione a tecla F1.
- No menu do BIOS, selecione a opção “Segurança” e o submenu “Inicialização segura”. Defina “Permitir Microsoft UEFI CA de terceiros” como “Ativado”.
- Pressione F10 para salvar e recarregar.
No entanto, é bastante interessante que a Lenovo tenha declarado anteriormente que o Pluton seria desativado por padrão em seus modelos ThinkPad 2022, que também incluem a variante Z13 aqui. Nós nos perguntamos se essa decisão poderia ter algo a ver com a exigência estrita da Microsoft de rejeitar as chaves UEFI de terceiros mencionadas acima.
Via: Phoronix
Deixe um comentário