El coprocesador de Microsoft evita que Linux arranque en portátiles ThinkPad

Hace seis meses, en CES 2022, Lenovo presentó las computadoras portátiles ThinkPad Z13 y ThinkPad Z16, que utilizan la tecnología de procesador AMD Ryzen PRO 6000 junto con gráficos Radeon dedicados. Hasta ahora nada fuera de lo normal, pero recientemente se ha descubierto que no son capaces de ejecutar Linux ni siquiera en tiempo real.

El descubrimiento de que las laptops ThinkPad Z13 y Z16 no eran capaces de arrancar Linux fue hecho por Matthew Garrett , un destacado desarrollador y uno de los mayores defensores del arranque seguro en Linux. La razón por la que tales computadoras no pueden ejecutar Linux es porque el propio coprocesador de Microsoft, Pluto, solo confía en la propia clave UEFI del gigante de Redmond para Windows 11, no en una clave de terceros basada en Linux. sistemas (clave Microsoft UEFI CA de terceros).

En otras palabras, el coprocesador de Microsoft Pluton está configurado o se requiere para usar solo la clave de arranque seguro UEFI de Windows 11. Esto significa que las computadoras portátiles solo se ejecutan con la configuración de firmware predeterminada y evitan que otros sistemas se inicien porque marcan los cargadores de arranque y los controladores como firmados. con una clave de terceros como no confiable. Incluso las distribuciones con soporte de arranque seguro «bueno», como Ubuntu y Fedora, no pasan el filtro y, además, en este caso también se evita el arranque desde cualquier dispositivo periférico de terceros conectado a través de Thunderbolt.

Si investiga la lista oficial de computadoras portátiles en el sitio web de ThinkPad , encontrará la siguiente declaración: “Las computadoras portátiles Z13 y Z16 son las primeras en la industria en implementar un procesador de seguridad integrado en la CPU que ayuda a eliminar la exposición a amenazas y prevenir ataques físicos. . Esta nueva tecnología de seguridad de chip a nube es el resultado de una asociación entre Microsoft y AMD que funciona junto con el cifrado de datos y la seguridad biométrica tan única como su ADN personal”.

Aparte de los problemas de autenticación biométrica, Matthew Garrett afirma explícitamente que evitar que se carguen claves de terceros no proporciona ningún beneficio de seguridad y solo sirve para crear barreras al comienzo de las alternativas del sistema operativo. El desarrollador recuerda que «la arquitectura UEFI Secure Boot completa es lo que proporciona seguridad sin comprometer la elección del sistema operativo del usuario».

El arranque seguro es una característica que siempre ha sido controvertida, no solo en Windows. Algunos ven esto más como un bloqueo del proveedor que como una verdadera función de seguridad, una opinión que, al menos en algunos casos, se ha visto reforzada por el descubrimiento de que Ubuntu lo admite fuera de la especificación misma .

Otro episodio es el módulo de seguridad Lockdown , que finalmente se incluyó en Linux después de siete años de discusiones entre Matthew Garrett y Linus Torvalds, creador del kernel de Linux. El motivo de esta prolongada discusión, que por momentos llegó a enfadar mucho, fue principalmente que Garrett se empeñaba en vincular Lockdown a Secure Boot, mientras que Torvalds se oponía por las posibles consecuencias imprevistas que eso podía acarrear. Al final, el creador de Linux logró expresar su punto de vista, y el enlace de Lockdown a Secure Boot se dejó como una característica opcional.

Además de la controversia en torno a la ejecución de Linux en las computadoras portátiles ThinkPad Z13 y ThinkPad Z16, queda una tarjeta para tomar el hacha y deshabilitar el arranque seguro de la caja. Esto debería eliminar la barrera que impide la ejecución de sistemas operativos alternativos, pero quién sabe cuáles serán las consecuencias en aquellos equipos con un coprocesador Microsoft Pluto en el medio, porque el proceso de verificación de firma ya no debería estar presente, pero quizás Linux todavía no. arranque debido a una incompatibilidad de hardware.