Согласно отчетам, некоторые ноутбуки Lenovo на базе чипов AMD Rembrandt и сопроцессора безопасности Pluton от Microsoft ограничены операционными системами Windows.
Первоначально эту причуду обнаружил эксперт по безопасности Linux Мэтью Гарретт, который обнаружил, что у него возникли трудности с загрузкой Linux с USB-накопителя на рабочей станции ноутбука Lenovo Z13 ThinkPad.
Пострадавшие используют чип AMD Ryzen 6000, и было обнаружено, что они разрешают загрузку только версий ОС Windows по умолчанию.
ОС Linux для ноутбуков Lenovo
Похоже, что затронутые ноутбуки Lenovo не доверяют загрузчикам, использующим сторонние ключи UEFI CA от Microsoft. Когда на ноутбуки, поддерживающие безопасную загрузку и доверенный платформенный модуль, загружается операционная система, отличная от Windows, ключи предыдущей ОС стираются.
Гаррет объяснил на своем блог (откроется в новой вкладке) что это «означает, что вы не сможете загружаться с любых сторонних внешних периферийных устройств, подключенных через Thunderbolt».
Он продолжает: «В этом нет никакой пользы для безопасности. Если вам нужна безопасность здесь, вы обращаете внимание на значения, измеренные в TPM, и благодаря собственной спецификации Microsoft для измерений, сделанных в PCR 7, переключение с загрузки Windows на загрузку чего-либо, подписанного с помощью стороннего ключа подписи, изменит измерения и аннулировать любые запечатанные секреты. Это тривиально обнаружить. Недоверие к стороннему центру сертификации по умолчанию не повышает безопасность, а просто затрудняет пользователям загрузку альтернативных операционных систем».
На данный момент кажется, что можно загрузить Linux на уязвимые ноутбуки Lenovo с процессорами AMD, отключив ограничение в UEFI BIOS, но, учитывая недавние улучшения компании в поддержке ОС Linux, весь этот шаг кажется несколько контрпродуктивным. если не путать.
Это вряд ли вызовет проблемы у большинства пользователей, которых устраивает ОС Windows по умолчанию, однако это может лишить профессиональных пользователей всего диапазона Lenovo. Тем не менее, Оборудование Тома (откроется в новой вкладке) подчеркивает, что это препятствие не относится напрямую ко всем ноутбукам Lenovo или Microsoft Pluton, что является отличной новостью для любителей Linux.