News Microsoft Pluton: Security-Chip lässt Linux nicht auf das Lenovo Z13 und Z16

[cloudman]

Wow was für ein Aufstand nur weil jemand nicht fähig ist die entsprechende UEFI Einstellung zu finden

https://download.lenovo.com/pccbbs/mobiles_pdf/Enable_Secure_Boot_for_Linux_Secured-core_PCs.pdf

Das ist doch ein no brainer

@SVΞN Der Titel ist irreführend.

 

[_Klicker_]

Moin,
Ich finde, die Ueberschrift ist etwas irrefuehrend und wuerde mit einer Ergaenzung wie "im Auslieferungszustand" sich dem Verdacht des Clickbait entziehen.
Das macht das urspruengliche Problem zwar nicht kleiner aber im Artikel ist es ja voellig korrekt beschrieben:
Der Artikel hier verweist an 2 Stellen, dass das Problem "nur" die Konfiguration des Notebooks bei Auslieferung betrifft:
1. "In der Standardkonfiguration, also dem Auslieferungszustands des Notebooks, verhindere der in CPUs von AMD, Intel und Qualcomm integrierbare Security-Prozessor den Start von Linux und erlaube ausschließlich das Booten von Windows"
2. "Erste Untersuchungen des Linux-Experten ergaben, dass Microsoft Pluton aufgrund von Secure Boot werkseitig so eingerichtet ist, dass der Security-Prozessor ausschließlich den Windows-Bootloader und Windows-Treiber akzeptiert und sich weigert, etwas anderes als Windows auszuführen."
und auch im verlinkten Artikel lautet die Ueberschrift:
"Lenovo shipping new laptops that only boot windows by default"
Aus meiner Sicht ist das eine richtig bloeder Herangehensweise von Lenovo aber man sollte dann so genau sein, zu erwaehnen, dass es sich im UEFI BIOS anpassen laesst.
Edit: @cloudman: Danke fuer den Hinweis! (Der Link fuehrt bei mir gerade zu 404)

cheers,
klicker

 

[tollertyp]

@cloudman: Scheinbar nicht. Ich finde den Artikel auch sehr schlecht in der Hinsicht geschrieben, dass diese relevante Information ziemlich am Ende kommt.
Wesentliche Informationen sollten immer früh im Artikel kommen, vor allem weil gewisse Formulierugen zuvor ein durchaus falsches Gesamtbild geben. Siehe auch einige Kommentare wie "Reklamieren" usw, die scheinbar davon ausgehen, dass es technisch unmöglich wäre, ein Linux zu installieren.

@_Klicker_: Dem kann ich nur zustimmen. Aber so eine Vorlage lässt man bei ComputerBase leider nicht ungenutzt.

 

[cloudman]

Edit: @cloudman: Danke fuer den Hinweis! (Der Link fuehrt bei mir gerade zu 404)

Ich habe den link korrigiert

 

[Apacon]

Sollte sich das Windows only in der Modellpallette durchsetzen ist damit Schluss - so macht man sich seinen Markt auch kaputt.

Welches Windows only? Ist doch mit einem Haken im BIOS erledigt.

 

[ChrisM]

Und ihr glaubt, dass das auf Dauer so bleiben wird mit einem Schalter im Bios? In genug OEM Ware sind die Bioseinstelluingen sowieso schon ein Witz (selbst Gaminglaptops als Beispiel haben teils nicht mal die Möglichkeit, ein XMP Profil zu aktivieren).

Und wenn MS da mit genug $$$-Scheinchen wedelt, könnte so ein Schalter im Bios schnell mal verschwinden und man schaut in die Röhre.

 

[tollertyp]

Die gleichen Sachen wurden bereits bei SecureBoot erzählt, und ich habe bislang keine Hardware gehabt, wo ich es nicht abschalten konnte... aber das ist vermutlich nur Zufall und wird sich zeitnah ändern.

 

[fullnewb]

Doch natürlich, man muss nur einen kleinen Haken im BIOS setzen und schon geht das alles.

Komplett unnötige Hysterie.

Diese komplett unnötige Hysterie ist diesem komplett unnorigen Feature geschuldet. 😂

Wenn man jetzt selbst eine CA im Bios hinterlegen könnte um nur eigens gebaute OS starten zu können, dann würde ich sagen ok. Aber Hardware die nur für M$ Sonderfunktionen bzw. Einschränkungen hat, das ist schon echt... unnötig.

 

[Thomaswww]

Als ich vor 3 Wochen ein HP Notebook von Cyberport mit FreeDOS gekauft habe, war das UEFI so eingestellt, dass Windows 11 sich nicht drauf installieren lies. Man muss händisch TPM im UEFI aktvieren. Erst dann lässt sich Win11 drauf installieren.

Wo ist hier der Aufschrei? Wo sind die Artikel in allen Fachmagazinen?

"HP sagt Windows den Kampf an" - "HP lässt Windows nicht mehr aufs Notebook"

Niemand? Really? Wow, einfach nur wow!

 

[Nore Ply]

Sowas muss konsequent boykottiert werden.

Bitte etwas konkreter. Meinst Du man sollte die Voreinstellung die keine 3rd-Party Signaturen akzeptiert boykottieren oder sollte man Deiner Meinung nach die Möglichkeit diese Voreinstellung im Bios zu ändern boykottieren?

 

[Forum-Fraggle]

Naja, der von dir beschriebene Fall betrifft Backup und Recovery Tools auf Basis von Linux.
Was gefühlt 100% nutzen 🙄

Recovern kann man schon, nur eben auf der Microsoft Schiene.

Das ist zu kurz gedacht.
Stell Dir vor, dieser Laptop wäre nicht Windows 11 kompatibel, vielleicht wird er es nicht für Windows 12 sein. Er wäre in 3 Jahren schrottreif oder nur offline verwendbar. Manche Laptops laufen aber prima ein zweites Leben mit Linux. Das geht hier nicht.

 

[Creeping.Death]

Was für eine Aufregung schon wieder!
Ein „Linuxer“ muss im BIOS/UEFI eine Option umstellen, dass er “sein“ OS installieren/nutzen kann. Das dürfte diese Zielgruppe vor ein gewaltiges Problem stellen, da sie ja für ihr technisches Unvermögen berühmt ist.

Man muss übrigens für die Installation von Windows 11 im BIOS gleich mehrere Optionen umstellen, damit sich Windows 11 installieren lässt. Trotzdem scheinen es ein paar Wenige hinbekommen zu haben.

Sollte Microsoft Linux wirklich wirksam aussperren wollen, dann bin ich voll bei euch. Das geht nicht und da würde sicherlich geklagt werden. Aber das hier ist ja wohl die Aufregung wirklich nicht wert.

 

[SirKhan]

Das geht hier nicht.

Natürlich geht das?! Es muss doch nur eine Option im UEFI umgestellt werden.
Musste ich auch machen, als ich Windows 11 installieren wollte...

 

[Nore Ply]

Na großartig. Muss man nun also zukünftog auch noch Listen wälzen um zu schauen, welches Gerät noch Linux zulässt, bevor man sich was kauft

...oder nach dem Kauf im Bios einen Schalter umlegen. Was vermutlich für manche unglaublich anspruchsvoll ist, als müsse man auf Händen und Knien und von Hunden verfolgt durch einen Kerker robben...

 

[Apacon]

Diese komplett unnötige Hysterie ist diesem komplett unnorigen Feature geschuldet. 😂

Wenn man jetzt selbst eine CA im Bios hinterlegen könnte um nur eigens gebaute OS starten zu können, dann würde ich sagen ok. Aber Hardware die nur für M$ Sonderfunktionen bzw. Einschränkungen hat, das ist schon echt... unnötig.

Hast du dich damals bei der Einführung von den T1 und T2 Chips bei Apple auch so darüber beschwert? Security Features welche nur für Mac OS gelten?

Hier wird doch einfach übertrieben stunk gegen MS gemacht, aufgrund einer Funktion welche sich innerhalb von 15 sek. deaktivieren lässt.

Ergänzung (9. Juli 2022)

Das geht hier nicht.

Natürlich geht das.

 

[Land_Kind]

Das geht in eine total falsche Richtung! Das wäre in meinen Augen eine glatte Lüge von Microsoft!
Doch ich kann mir nicht vorstellen, dass die EU da nicht eingreift.

Ergänzung (9. Juli 2022)

Und dieses Modulare ist, was auch heute noch für viele, auch hier im Forum, das geile am PC ist.
Man kann hingehen, sich Bord A von Hersteller B, mit Ram C von Hersteller D, Laufwerk E von Herste... zusammen klöppeln und es läuft. Das ist doch wohl mit das geilste am PC und an PC Hardware, selbst wenn es dann doch mal auch Systeme gibt, die in ihrer Nische besser und schneller sind, so wie es Apple immer wieder schafft, dafür aber auch bewusst auf diese Kompatibilität verzichten muss

Genau aus diesem Grund habe ich als Hauptrechner keinen Schlepptop, sondern einen PC.
An einem PC kannst Du rumfummeln, so viel du willst. Das geht weder bei einem Laptop, noch bei einem Mac.

 

[Nore Ply]

Kannst Du mal erklären wo[rin] Du eine Lüge Microsofts zu erkennen glaubst?

 

[Helge01]

man muss nur einen kleinen Haken im BIOS setzen und schon geht das alles

Ist das so ein Schalter wie z.B. AVX-512 auf Alder Lake? Dieser wurde auch nachträglich entfernt. Da gibt es mehrere Bsp. wo Mainboard Hersteller im Nachgang Funktionen deaktivieren mussten.

 

[ETI1120]

Inwiefern? Auf dem Lenovo lassen sich Linux und Windows installieren.

Habe ich etwas verpasst? Bei der Meldung geht es darum dass Linux auf den neuen Laptops mit Rembrandt nicht installiert werden kann.

Nächste Woche wird sich Micheal Larabel mit der Sache beschäftigen:

Die Beschränkung auf Windows als Standard ist ziemlich dumm, aber zumindest klingt es so, als könne man das im UEFI-BIOS deaktivieren, um das Booten alternativer Betriebssysteme zu ermöglichen. Hoffentlich ändert Lenovo dies, denn es ist in der Tat ein ziemlich dummer Schachzug von ihnen und ihrer Linux-Unterstützung, die in letzter Zeit zugenommen hatte.​

​

Schließlich werde ich in der nächsten Woche oder so ein Lenovo ThinkPad X13 Gen3 AMD mit Ryzen 7 PRO 6850U in die Hände bekommen, so dass ich auch in der Lage sein werde, mir die AMD Rembrandt-Unterstützung im Allgemeinen unter Linux und jegliche Pluton/Sicherheitsanomalien dort genauer anzusehen.​

​

Übersetzt mit www.DeepL.com/Translator (kostenlose Version)​

Quellen wären bei so etwas immer nett...

https://www.opencve.io/cve?vendor=intel&cvss=&search=SGX
Such Mal nach "intel sgx vulnerability"

Bei AMD sieht es auch nicht besser aus.

Das Konzept dieser Sicherheitsprozessoren verlangt nun Mal:

• Die darin verwendete Software muss beweisbar sicher und beweisbar fehlerlos sein
• Die verwendete Hardware muss beweisbar sicher und fehlerlos sein
• Bei der Produktion der Hardware dürfen keine Fehler auftreten
• Für die Schnittstellen gilt dasselbe

Und dann wird zusätzlich noch so ein Teil von Microsoft verbaut. Es geht hier ausschließlich, darum dass Microsoft Kontrolle über die Hardware bekommt.

Wenn auch nur eines nicht erfüllt ist, hat man ein riesen Problem.
Es ist so ähnlich wenn man alle Schlüssel in einem Raum verwahrt zu dem es nur eine Tür gibt. Die immer fest verschlossen und gut überwacht ist. Leider hat der Raum ein Fenster das offen steht und im Erdgeschoss auch noch gut erreichbar ist.

 

[Apacon]

@ETI1120
Wurde doch jetzt schon oft genug gesagt, dass sich Pluton mit einem einfachen BIOS Switch deaktivieren lässt bzw. dass sich Third Party Certificates einfach aktivieren lassen.
Damit musst du einmal ins BIOS gehen, einen Schalter umelgen und schon läuft alles wie vorher.

Ich zitiere mal aus dem Artikel:

Damit bietet Lenovo mit dem ThinkPad Z13 und Z16 erstmals im Auslieferungszustand Windows-Only-Notebooks an und bestätigt in einem offiziellen Dokument (PDF), dass Microsoft 3rd Party UEFI Certificates zukünftig ab Werk nicht akzeptiert werden und erst über einen Eingriff in das BIOS freigegeben werden müssen. Anschließend ist es schlussendlich möglich, Linux zu booten – eine Maßnahme, die auch beim Entdecker für wenig Verständnis sorgt.

Ist halt eine reißerische Überschrift und dieser Umstand wird erst relativ weit unten erwähnt. Hätte man auch besser machen können.