Microsoft 的 Pluton 阻止配備 AMD Ryzen 6000 PRO 的聯想 ThinkPad 筆記本電腦啟動 Linux
今年在 CES 2022 上宣布的聯想 Z13 和 Z16 筆記本電腦是少數配備 AMD Ryzen 6000 PRO 系列處理器的筆記本電腦之一。
Phoronix 報告稱,搭載 Ryzen 6000 PRO Zen3+ 系列的 AMD 驅動的 ThinkPad Z13 筆記本電腦在啟動 Linux 操作系統時出現問題。這是 Matthew Garrett 發現的,他在他的網站上分享了這條消息。
這款筆記本電腦配備聯想獨家 AMD Ryzen PRO 6860Z 處理器,內置 Microsoft Pluton 安全協處理器。這是一個專用芯片,旨在通過驗證 UEFI 證書密鑰來提高 Windows 系統的安全性。問題是它只信任微軟的密鑰,而不信任各種 Linux 發行版使用的任何 3rd 方 UEFI 密鑰。
這實質上意味著聯想 ThinkPad Z13 根本無法運行任何 Linux 系統。這台筆記本電腦默認預裝 Windows 11,雖然在任何地方都沒有提到 Linux 支持,但人們也可能會爭辯說它沒有任何地方說它不能啟動 Linux(是的,我們已經檢查了各種官方規格和新聞稿)。
“這意味著在默認的固件配置下,除了 Windows 之外沒有任何東西可以啟動。這也意味著您將無法從通過 Thunderbolt 插入的任何第三方外圍設備啟動。這對安全沒有好處。如果你想要安全,你要注意 TPM 中測量的值,並且由於 Microsoft 自己的 PCR 7 測量規範,從引導 Windows 切換到引導使用第 3 方簽名密鑰簽名的東西會改變測量和使任何密封的秘密無效。檢測到這一點很簡單。默認情況下不信任第 3 方 CA 不會提高安全性,只會讓用戶更難啟動替代操作系統。”
— Aurora 的安全開發人員 Matthew Garrett
Garrett 還提到,這意味著不支持從第 3 方 Thunderbolt 外圍設備啟動。如果嵌入式 Pluton 協處理器默認為禁用狀態,這將不是問題。不幸的是,事實並非如此。
儘管這款設備已在半年多前發布,但我們還沒有看到任何關注 Linux 支持的評論。但是,該系統僅在幾週前才可用,因此仍有可能有人會調查此問題。
關於安全的聯想 ThinkPad Z13,來源:聯想
來源:mjg59 journal via Phoronix
