Eerder deze week vertelde Linux-beveiligingsonderzoeker Matthew Garrett dat Lenovo’s nieuwere AMD Rembrandt-laptops met Microsoft’s Pluton-beveiligingsco-processor Linux standaard niet zouden opstarten. Het probleem komt voort uit het feit dat het UEFI-certificaat van derden niet standaard is ingeschakeld en het blijkt iets te zijn dat Microsoft nu schijnbaar afdwingt. Gelukkig had ik onderweg een Lenovo ThinkPad X13 Gen3 met Ryzen 7 PRO 6850U en kon ik deze ervaring nu onder Linux testen.
Matthew Garrett stond bekend om zijn Linux Secure Boot-werk en andere veiligheidsonderzoek. Hij was er snel bij om Lenovo te bekritiseren omdat ze hun nieuwe laptops niet hebben verzonden met de UEFI CA van derden standaard ingeschakeld en”hier is geen veiligheidsvoordeel aan verbonden.”Lenovo plaatste ondertussen een kennisgeving waarin de wijziging werd bevestigd en schijnbaar werd verlegd naar de schuld van Microsoft: 2022 voor Secured-core pc’s is het een Microsoft-vereiste dat het certificaat van derden standaard is uitgeschakeld.Dit betekent dat voor elk van deze Lenovo-platforms die worden geleverd met Windows vooraf geïnstalleerd, een extra stap nodig is om Linux te laten opstarten met veilig opstarten ingeschakeld.”
Voor”secure-core”pc’s is dit vermoedelijk met Pluton. Ik heb de Intel Core i7 1280P in een nieuwe laptop gehad en andere 2022-laptops die deze verandering niet hebben ondergaan terwijl ik Windows 11 draaide. Ik heb echter nog niet de exacte woordenschat van Microsoft rond dit mandaat gezien.
Gelukkig had ik dankzij een zeer goede deal van 4 juli een Lenovo ThinkPad X13 onderweg voor het leveren van Linux-tests van de AMD Ryzen 6000-serie”Rembrandt”-ondersteuning en prestaties die wachtten op levering toen dit nieuws kwam eerder in de week uit. Hoewel Rembrandt al sinds eerder dit jaar in de buurt is, vanwege het gebrek aan interesse van grote laptopleveranciers in Linux (tenminste wat betreft productrecensies en media-aandacht) en geen medewerking van AMD voor het testen van Linux-laptops, ben ik niet in staat geweest om test AMD Rembrandt onder Linux totdat ik zelf een laptop aanschaf om informatie/review en benchmarks over Linux-compatibiliteit te leveren.
De Lenovo ThinkPad X13 Gen3 (21CM0001US) is uitgerust met een Ryzen 7 PRO 6850U SoC met RDNA2 Radeon RX 680M grafische kaart, 16 GB LPDDR5-6400 geheugen, 512 GB NVMe SSD, 1920 x 1200 13,3-inch scherm en Qualcomm NFA725A wifi. Ik heb binnenkort Linux-benchmarks op deze Lenovo-laptop op Phoronix en nog veel meer details over AMD Rembrandt onder Linux met de ondersteuningsvereisten en prestaties voor veel benchmarks. De 21CM0001US werd gelanceerd in juni en wordt verkocht voor $ 1770 ~ 1800 USD of meer, maar tijdens de uitverkoop van 4 juli was slechts $ 1182, waardoor het behoorlijk aantrekkelijk was voor de prijs en een koopje dat ik me kon veroorloven voor het leveren van een aantal interessante Linux-tests.
Inderdaad, toen het erop aankwam om een Ubuntu 22.04 LTS live image op de ThinkPad X13 Gen3 op te starten, mislukte het. Vanuit het selectiescherm van het opstartmenu, het USB-station selecteren met de officiële Ubuntu 22.04 LTS, het mislukte en keerde eenvoudig terug naar het opstartmenuscherm zonder berichten. Dit is een slechte gebruikerservaring en informeert de gebruiker niet over het uitschakelen van het certificaat van derden of andere berichten rond het probleem-het mislukt gewoon.
Maar gelukkig van de Lenovo BIOS de UEFI CA van derden kan eenvoudig worden ingeschakeld. Druk gewoon op enter bij het opstarten om het opstartproces te onderbreken, druk op F1 om het BIOS te openen, en vanaf de beveiligingspagina is een”Sta Microsoft 3rd Party UEFI CA toe”. Of er is ook de mogelijkheid om UEFI Secure Boot volledig uit te schakelen.
Dit is het deel dat niet duidelijk werd gemaakt in Garrett’s blogpost–het certificaat van derden kan eenvoudig worden ingeschakeld. Maar ik ben het eens met zijn beoordeling dat het een dom mandaat is om dit certificaat nu standaard uit te schakelen en niet lijkt te zijn gebaseerd op stevige veiligheidsredenen. Vooral rond het gebrek aan berichten over deze verandering in standaardgedrag leidt dit tot een slechte gebruikerservaring en klanten kunnen er gewoon van uitgaan dat Linux technische problemen heeft bij het opstarten op nieuwe laptops of andere problemen.
Nadat het certificaat van derden was ingeschakeld, startte de Ubuntu 22.04 LTS-afbeelding goed op op de ThinkPad X13 Gen3-laptop. Met het certificaat van derden ingeschakeld, startte de Microsoft Windows-installatie nog steeds goed op.
Op Ubuntu 22.04 LTS met zijn standaard Linux 5.15-kernel en andere standaardcomponenten, de AMD Rembrandt laptop werkte prima wat betreft standaardfunctionaliteit-blijf op de hoogte voor mijn Linux-recensie en veel prestatiebenchmarks. Maar om een lang verhaal kort te maken vanaf de Ubuntu 22.04-desktop, de WiFi werkte out-of-the-box, de RDNA2-graphics werden prima ondersteund op de stock-kernel en Mesa, enz.
Het is jammer dat Microsoft blijkbaar verplicht stellen dat de UEFI CA van derden standaard wordt uitgeschakeld, op basis van de opmerkingen van AMD en Lenovo. Maar in het geval van de huidige Lenovo ThinkPads kan het certificaat eenvoudig worden ingeschakeld en toch is er de mogelijkheid om UEFI SecureBoot volledig uit te schakelen. Het zal een groter probleem zijn als een van de andere laptopleveranciers afziet van het feit dat deze opties direct toegankelijk zijn voor eindgebruikers of het certificaat van derden niet op apparaten laadt. Het is ook een slechte gebruikerservaring op dit moment dat wanneer je probeert een Linux-distributie op een nieuw apparaat op te starten, het stil faalt zonder enige uitleg of indicatie van de Secure Boot-certificaatstatus. Het zou een mooi compromis zijn als Lenovo (en andere OEM’s) op zijn minst de Secure Boot-status en de status van de certificaten uit het UEFI-opstartmenu zouden laten zien, wat in ieder geval onmiddellijk inzicht zou geven voor technische gebruikers waarom hun Linux-installatiemedia stil kunnen zijn start niet op.