Coprocessador da Microsoft impede que o Linux inicialize em laptops ThinkPad

Há seis meses, na CES 2022, a Lenovo apresentou os laptops ThinkPad Z13 e ThinkPad Z16, que usam a tecnologia de processador AMD Ryzen PRO 6000 junto com gráficos Radeon dedicados. Até agora nada fora do comum, mas foi descoberto recentemente que eles não são capazes de rodar Linux nem em tempo real.

A descoberta de que os laptops ThinkPad Z13 e Z16 não eram capazes de inicializar o Linux foi feita por Matthew Garrett , um desenvolvedor proeminente e um dos maiores defensores da inicialização segura no Linux. A razão pela qual esses computadores não podem executar o Linux é porque o próprio coprocessador da Microsoft, Pluto, confia apenas na chave UEFI da gigante de Redmond para o Windows 11, não em uma chave baseada em Linux de terceiros. sistemas (chave Microsoft UEFI CA de terceiros).

Em outras palavras, o coprocessador Microsoft Pluton é configurado ou necessário para usar apenas a chave de inicialização segura UEFI do Windows 11. Isso significa que os laptops são executados apenas com a configuração de firmware padrão e impedem que outros sistemas sejam iniciados porque marcam carregadores de inicialização e drivers como assinados. com uma chave de terceiros como não confiável. Mesmo as distribuições com “bom” suporte ao Secure Boot, como Ubuntu e Fedora, não passam no filtro e, além disso, a inicialização de qualquer dispositivo periférico de terceiros conectado via Thunderbolt também é impedida neste caso.

Se você pesquisar a lista oficial de laptops no site do ThinkPad , encontrará a seguinte declaração: “Os laptops Z13 e Z16 são os primeiros do setor a implementar um processador de segurança embutido na CPU que ajuda a eliminar a exposição a ameaças e evitar ataques físicos . Essa nova tecnologia de segurança chip-to-cloud é o resultado de uma parceria entre a Microsoft e a AMD que trabalha em conjunto com criptografia de dados e segurança biométrica tão única quanto seu DNA pessoal.”

Além dos problemas de autenticação biométrica, Matthew Garrett afirma explicitamente que impedir que chaves de terceiros sejam carregadas não oferece nenhum benefício de segurança e serve apenas para criar barreiras no início de alternativas de sistema operacional. O desenvolvedor lembra que “a arquitetura completa do UEFI Secure Boot é o que fornece segurança sem comprometer a escolha do sistema operacional do usuário”.

O Secure Boot é um recurso que sempre foi controverso, não apenas no Windows. Alguns vêem isso mais como um bloqueio de fornecedor do que um verdadeiro recurso de segurança, uma visão que, pelo menos em alguns casos, foi reforçada pela descoberta de que o Ubuntu o suporta fora da própria especificação .

Outro episódio é o módulo de segurança Lockdown , que acabou sendo incluído no Linux após sete anos de discussões entre Matthew Garrett e Linus Torvalds, criador do kernel Linux. A razão para essa discussão prolongada, que às vezes se tornava muito irritada, era principalmente que Garrett insistia em vincular o Lockdown ao Secure Boot, enquanto Torvalds era contra por causa das possíveis consequências imprevistas que isso poderia acarretar. No final, o criador do Linux conseguiu transmitir seu ponto de vista, e a vinculação do Lockdown ao Secure Boot foi deixada como um recurso opcional.

Além da controvérsia em torno da execução do Linux nos laptops ThinkPad Z13 e ThinkPad Z16, resta um cartão para tirar o machado e desativar a inicialização segura fora da caixa. Isso deve remover a barreira que impede a execução de sistemas operacionais alternativos, mas quem sabe quais podem ser as consequências naqueles computadores com um coprocessador Microsoft Pluto no meio, porque o processo de verificação de assinatura não deve mais estar presente, mas talvez o Linux ainda não inicializar devido à incompatibilidade de hardware.