I laptop Lenovo ThinkPad Ryzen 6000 con Microsoft Pluton si rifiutano di eseguire Linux per impostazione predefinita

Al CES 2022 di quest’anno, AMD ha annunciato che i suoi processori Ryzen 6000 Rembrandt sono stati i primi nel settore a supportare Microsoft Pluton. Insieme a questo, Lenovo ha anche annunciato i suoi nuovi laptop ThinkPad Z13 e Z16 abilitati per Pluton . Questi nuovi ThinkPad saranno dotati di un processore Ryzen™ 7 PRO 6860Z personalizzato.

Microsoft Pluton è un coprocessore di sicurezza per PC Windows introdotto per la prima volta da Redmond nel 2020. Insieme a TPM, Pluton è progettato per migliorare la sicurezza del sistema Windows.

Oggi, Matthew Garrett, Information Security Architect di Linux, ha scoperto qualcosa di interessante sui nuovi laptop Lenovo ThinkPad con Pluton. Garrett è riuscito a mettere le mani su un ThinkPad Z13 e ha scoperto che il dispositivo non poteva avviare Linux tramite USB.

Dall’indagine iniziale si è concluso che Pluton, a causa di Secure Boot, è configurato per accettare solo caricatori di avvio e driver di Windows, rifiutandosi di eseguire qualsiasi cosa diversa da Windows. Linux e le sue distribuzioni utilizzano un’autorità di certificazione (CA) Microsoft UEFI di terze parti per l’avvio sicuro e sembra che Pluton rifiuterà qualsiasi cosa del genere. Ecco cosa scrive Matthew Garrett sul suo blog :

Alla fine sono riuscito a mettere le mani su un Thinkpad Z13 per studiare l’implementazione funzionale del coprocessore di sicurezza Pluton di Microsoft. Un tentativo di avviare Linux da un’unità USB non è riuscito immediatamente per qualche motivo sconosciuto, ma dopo ulteriori indagini, il motivo è diventato chiaro: il firmware predefinito non si fida dei bootloader o dei driver firmati con una chiave Microsoft UEFI CA di terze parti. Ciò significa che con la configurazione del firmware predefinita, nient’altro che Windows si avvierà. Ciò significa anche che non sarai in grado di eseguire l’avvio da periferiche esterne di terze parti collegate tramite Thunderbolt.

Lenovo in un documento ( PDF ) conferma che a partire dal 2022 i certificati di terze parti sono disabilitati per impostazione predefinita, come consigliato da Microsoft per i PC con avvio protetto. Annota:

Le distribuzioni Linux utilizzano un eseguibile “shim” firmato da Microsoft, che può quindi verificare i passaggi di avvio successivi che sono stati firmati con la chiave di distribuzione. La guarnizione firmata Microsoft viene firmata utilizzando un “Certificato di terze parti Microsoft UEFI” e questo certificato viene archiviato nel database del BIOS. A partire dal 2022 per PC di base sicuri, Microsoft richiede che il certificato di terze parti sia disabilitato per impostazione predefinita.

Tuttavia, c’è un lato positivo in quanto le persone che desiderano eseguire Linux su un laptop Lenovo con avvio sicuro possono farlo abilitando l’opzione “Consenti UEFI CA di Microsoft 3rd Party” nel BIOS. Ecco i passaggi:

1. . Avvia nel menu di configurazione del BIOS. Riavvia il computer e quando viene visualizzato il messaggio “Per interrompere il normale avvio, premere Invio”, premere il tasto F1.
2. Dal menu del BIOS, selezionare l’opzione “Security” e il sottomenu “Secure Boot”. Impostare “Consenti CA Microsoft UEFI di terze parti” su “On”.
3. Premi F10 per salvare e ricaricare.

Tuttavia, è piuttosto interessante che Lenovo abbia precedentemente affermato che Pluton sarebbe stato disabilitato per impostazione predefinita nei suoi modelli ThinkPad 2022, che qui includono anche la variante Z13. Ci chiediamo se questa decisione possa aver avuto a che fare con il rigoroso requisito di Microsoft di rifiutare le chiavi UEFI di terze parti menzionate sopra.

Via: Phoronix