News Microsoft Pluton: Security-Chip lässt Linux nicht auf das Lenovo Z13 und Z16

[Luthredon]

Ach ja, falls dir jetzt vielleicht Apple als "Alternative" vorschwebt, Apple hat schon seit Jahren eine vergleichbare Sicherheitslösung in den Geräten.

Das ist mit dem vorliegenden Fall keineswegs 'vergleichbar', weil Linux auf T2 Geräten ganz prima läuft. Secure Boot ist halt mit Linux nicht ohne weiteres möglich. Der Weg von Lenovo, alles außer Win auszuschließen, hat schon eine andere Qualität.

@topic: Ist das von Lenovo eigentlich so kommuniziert? Falls nicht, muss man damit rechnen, kein anderes OS aufspielen zu können?

Falls doch, also falls Lenovo das so in den Eigenschaften angibt, darf man sich das halt einfach nicht kaufen. Dann hätte der Herr Garrett aber auch nichts allzu Überraschendes herausgefunden, oder?

 

[xexex]

Das ist mit dem vorliegenden Fall keineswegs 'vergleichbar', weil Linux auf T2 Geräten ganz prima läuft. Secure Boot ist halt mit Linux nicht ohne weiteres möglich.

Wo soll jetzt der Unterschied zu Pluton sein? Läuft Linux denn etwa nicht, wenn man es abschaltet? Das Verhalten ist übrigens so ziemlich identisch:

In der Dokumentation heißt es weiter: "Derzeit wird der Microsoft Corporation UEFI CA 2011 nicht vertraut, was die Überprüfung von Code mit einer Signatur von Microsoft-Partnern ermöglichen würde. Diese UEFI-Zertifizierungsstelle wird im Allgemeinen verwendet, um die Authentizität von Bootloadern für andere Betriebssysteme wie z. B. Linux-Varianten zu überprüfen."
https://www.golem.de/news/apple-t2-...en-macs-nur-ohne-secure-boot-1811-137531.html

 

[Maviapril2]

Das ist mit dem vorliegenden Fall keineswegs 'vergleichbar', weil Linux auf T2 Geräten ganz prima läuft.

Auf meinem mit T1 nicht sinnvoll nutzbar, da keine WLAN-Treiber... Gibt auch keine BIOS-Einstellung um welche herzuzaubern (siehe https://github.com/Dunedan/mbp-2016-linux)

Der Weg von Lenovo, alles außer Win auszuschließen, hat schon eine andere Qualität.

Tut Lenovo doch gar nicht, im Gegensatz zu Apple.

 

[Nore Ply]

Weiß ich nicht. Ich hab von dir keinen Link zu einer Statistik gesehen.

Echt jetzt? Dafür brauchst Du einen Link?

google mit "Linux Windows Anteil" liefert als einen der ersten Treffer

Microsofts Windows-Betriebssystem erzielte im Mai 2022 einen Marktanteil an den weltweiten Page Views von rund 75,5Prozent. Apples macOS kam im selben Monat auf einen Wert von rund 15 Prozent, die Linux-Betriebssysteme erzielten 2,45 Prozent.

https://de.statista.com/statistik/d...genutzten-betriebssysteme-weltweit-seit-2009/

Aber ich zumindest war ganz "normal".

Du bist ebenso wie ich einer von 2,45 Prozent. Du bist zwar Normal, aber eben doch die Ausnahme.
Edit: ich habe grob vereinfachend die Verhältnisse der PageViews mit den Verhältnissen der Nutzer gleich gesetzt. Tatsächlich dürften es mehr Linux Desktop Nutzer sein...2,46 oder gar 2,8 Prozent wären möglich.
Die grundsätzlichen Verhältnisse dürften trotzdem in dieser Richtung liegen.

Ja. Hat mit Google 2 Minuten gedauert, dann wußte ich wie. Auch das ist kein Hexenwerk.

Ach?

 

[mae]

IIRC, nur bei physischen Datenträgern. Steam Spiele kannst du ja z.B. nicht weiterverkaufen.

Es gibt einen eigenen Paragraphen fuer nicht-physische Datentraeger? Welchen? Dass es in Steam keine Moeglichkeit gibt, heisst nicht, dass es illegal waere, wenn es ginge.

Ich find echt schwer zu glauben, dass es eine signifikant Anzahl an Menschen gibt, die a) Linux installieren wollen und b) alle Schritte hinbekommen würden, aber dann c) am einer UEFI-Einstellung scheitern. Das ist schon ne sehr spezielle Konstellation.

Ich finde das ueberhaupt nicht schwer zu glauben. Fuer b reicht es bei einem normalen PC und Laptop, einen USB-Stick mit z.B. Ubuntu oder c't-Bankix reinzustecken und den Einschalter zu druecken.

Wenn sowas nicht eine ordentliche Huerde waere, waere das ja kein Thema, aber vor allem wuerde Microsoft dann nicht vorgeben, dass die Hardwarehersteller diese Moeglichkeit per default abdrehen sollen.

 

[Termy]

Das ändert aber nichts daran das Joe und Josefine Jedermann lediglich Windows kennen, nicht mal den Wunsch haben etwas anderes als Windows zu verwenden und womöglich auch mit Windows am besten bedient sind.

(Zumindest teilweise) falsch - Joe und Josefine Jedermann haben nicht mal den wunsch, irgendwas anderes zu nutzen, als mit ihrem Gerät ausgeliefert wurde. Es ist wohl recht unbestritten, dass die weite Windows-Verbreitung bei den "nur Browser"-Usern primär der Tatsache geschuldet ist, dass dieses eben auf dem absoluten Großteil der OEM-Rechner vorinstalliert ist und in keiner Weise eine "bewusste Entscheidung" darstellt.

 

[Creeping.Death]

Es ist wohl recht unbestritten, dass die weite Windows-Verbreitung bei den "nur Browser"-Usern primär der Tatsache geschuldet ist, dass dieses eben auf dem absoluten Großteil der OEM-Rechner vorinstalliert ist und in keiner Weise eine "bewusste Entscheidung" darstellt.

Nein, die meisten User - egal ob Joe und Josefin Jedermann oder "Herr/Frau Oberchecker aus'm CB-Forum" - sind mit Windows (und eventuell zuvor DOS) in die PC-Welt eingestiegen. Sie kennen oft auch nur Windows von der Arbeit.

Da der Mensch in der Regel ein Gewohnheitstier ist, möchte er möglichst alles so haben wie immer und verspürt deshalb erst mal wenig Drang, sich mit einem für ihn neuen Betriebssystem anzufreunden.
Man bedenke, was für eine schier unüberwindbare Hürde es darstellt, wenn das Startmenü plötzlich Kacheln enthält, wo früher ein normales Menü war oder das Menü plötzlich auf dem Bildschirm zentriert ist...

Das hat auch nichts mit "Linux ist besser" oder "Windows ist besser" zu tun. Es ist eher getreu dem Motto "was der Bauer nicht kennt, das isst er nicht".

 

[Kuristina]

Echt jetzt? Dafür brauchst Du einen Link?
google mit "Linux Windows Anteil" liefert als einen der ersten Treffer

Nein, es ging ja nicht um den Linux Anteil. Es ging darum, dass sich "normale" Besitzer kein Linux installieren könnten. Gibt ja auch viele, die einfach mit Linux nicht zufrieden waren und dann bei Windows geblieben oder wieder zurückgewechselt sind. Aber trotzdem waren diese fähig Linux zu installieren und zu testen. Als ganz "normale" Besitzer. Oder die, die es könnten, aber nicht tun, weil sie schon vorher wissen, dass eine ganz bestimmte Software oder ein Spiel (noch) nicht funktionieren würde.

Ergänzung (11. Juli 2022)

Und raus zu finden was ein UEFI ist und wie man da rein kommt ist Hexenwerk? Oder worauf willst du hinaus?

Nein. Es ging darum, eine Distro auf einen USB-Stick zu bekommen. Das soll angeblich schon schwer sein. Ist es aber nicht. Ich wußte nach 2 Minuten googlen wie man das macht.

Ergänzung (11. Juli 2022)

Ach?

Ja. 🙂 Deshalb sag ich ja, Linux kriegen auch die "normalen" User hin. Aber viele sind leider dermaßen schnell überfordert, dass man denen eigentlich nur raten kann, ganz die Finger von Computern zu lassen.

 

[Spike S.]

Genauso wenig ist Linux auch nur im Ansatz an die Cloud und mobile Geräte angebunden, aber genau das sind heutzutage für viele Menschen wichtige Faktoren.

Das ist aber auch etwas, was kaum einer wirklich braucht. Für die Mehrheit der Consumer reicht ein aktueller Browser und LibreOffice völlig aus und das kann jede aktuelle Linux Distro. Nur ganz wenige "müssen" beim Freeclimbing auf Sylt über ihre Smartwatch noch eine Kündigung schreiben oder irgendwelche Statistikwerte in eine Tabelle eintragen. Selbst ich als Tekkie sehe bis heute keinen Nutzen für eine Cloud.
Als es darum ging das XP auf dem Rechner meiner Mutter (Ü70) zu ersetzen, war Win7 schon totgesagt, auf 10 hatte ich keine Lust, also Mint drauf und fertig. Netzwerk und Drucker laufen. Sie vermisst nix und für sie sind Computer eher "Teufelszeug". Ich habe auch in meinem Bekanntenkreis niemanden, für den Linux nicht auch völlig reichen würde.

 

[Mensch_lein]

Aus meiner Sicht ist die Überschrift des Artikels korrekt.

Dabei gehe ich vom Normalen User mit wenigen Grundkenntnissen in der Materie IT aus. Den schickt man nun ins Bios, damit er sich weiter mit etwas beschäftigen muss, das er nicht braucht und nicht will. Nicht ein jeder kann, oder will sich mit dem Bios beschäftigen, noch hat er/sie/es die Kenntnisse dafür. Manche haben auch vergessen, was man im Bios alles abschiessen kann. Ich freue mich schon darauf, wie viele sich das Bios zerschiessen, damit der Rechner dann nicht mehr bootet.

Die Fuktion im Bios kann deaktiviert werden, schön und gut. Will ich, das manche "Experten" sich im Bios tummeln?

Haben die Ganzen Sicherheits-funktionen es für den Dau sicherer gemacht? (Ich lehne mich mal aus dem Fenster und sage dazu nein.) Das sagt zumindestens auch das BSI. Wobei ich nach den Aussagen zu Kaspersky die auch nicht mehr wirklich für Geistig zurechenbar halten kann. Kein Schlangenöl ist vertrauenswürdig. Aber das ist OT.

Ich finde MS macht genau das, was ich von Ihnen erwartet habe. Nichts gutes also. Genauso wie Apple und Google.

Die Technik geht generell in die Falsche Richtung. Sicherheit wird als Propaganda-Instrument mantramässig als Verkaufsslogan verwendet, dabei ergibt sich bei genauer Betrachtung keinerlei reale Sicherheit.

Die Technik schützt dich vor fremden Zugriffen, dabei ist seit jeh her der Vor dem Monitor das eigentlich grösste Sicherheitsproblem.

Kurzum, solche einschränkungen, so klein sie auch sein mögen, erachte ich als Frechheit und als total unnötig.

 

[Miuwa]

Es gibt einen eigenen Paragraphen fuer nicht-physische Datentraeger? Welchen? Dass es in Steam keine Moeglichkeit gibt, heisst nicht, dass es illegal waere, wenn es ginge.

Was genau soll bitte ein nicht physischer Datenträger sein?
Auch GOG Spiele darftst du übrigens nicht Weiterverkaufen.

Es gibt übrigens auch für Datenträger meines Wissens keinen Paragraph. Es wurde halt in der Vergangenheit vor Gericht festgestellt, dass der Weiterverkauf von Lizenzen, die an physische "objekte" gebunden sind nicht verboten werden darf (oder so ähnlich), weil hier der erschöpfungsgrundaatz gilt. Bei online Distribution ist das halt nicht der Fall.

Ich finde das ueberhaupt nicht schwer zu glauben. Fuer b reicht es bei einem normalen PC und Laptop, einen USB-Stick mit z.B. Ubuntu oder c't-Bankix reinzustecken und den Einschalter zu druecken.

Und um ins uefi zu kommen muss ich beim Boot "Entf" drücken. Wo ist die Hürde?

Davon ab unterschlägst du natürlich so Details, dass du erstmal nen USB-Stick mit Ubuntu erzeugen musst und dich dann halt auch in Linux zurechtfinden musst (Angeblich haben Leute ja schon beim Wechsel von einer Windowsversion auf die Nächste ein Problem).

Ergänzung (11. Juli 2022)

Dieses Urteil was ich meinte ist schon lange her, da müsste ich suchen, auf die schnelle habe ich nix gefunden. Hat aber heute noch Bestand, habe nix gegenteiliges vernommen.

Das wäre echt mal interessant was da genau beschlossen wurde. Wenn ich bedenke, wie viel heute verklebt bzw. direkt vetlötet wird, dann gibt's vermutlich echt viele Produkte, die man nichtmehr als Laptop bewerben darf.

 

[Creeping.Death]

Und um ins uefi zu kommen muss ich beim Boot "Entf" drücken. Wo ist die Hürde?

Zudem muss man bei einigen Mainboards erst mal in BIOS um das Booten von einem USB-Stick zu ermöglichen.
Ich hatte schon Boards, wo - falls vorhanden - eine SSD (mit installiertem OS) immer Vorrang hatte.

Wie ich auch schon schrieb (aber liest ja eh keine Sau), ist selbst für die Installation von Windows 11 auf fast allen Mainboards, die älter als 6 Monate sind, ebenfalls ein (wesentlich komplizierterer!) Eingriff im UEFI erforderlich. Es müssen Secure Boot und TPM aktiviert werden.
Wenn das die (angeblich so unterbelichteten) Windows-Jünger hinbekommen, dann sollte das ein "Linuxer" mit nur einem Schalter ebenfalls hinbekommen.

 

[Luthredon]

Auf meinem mit T1 nicht sinnvoll nutzbar, da keine WLAN-Treiber...

Das hat mit dem Thema aber nun gar nix zu tun, oder?

Tut Lenovo doch gar nicht, im Gegensatz zu Apple.

Und wieso kann man dann kein Linux auf dem Lenovo installieren und auf Macs schon?

Wo soll jetzt der Unterschied zu Pluton sein? Läuft Linux denn etwa nicht, wenn man es abschaltet?

Lässt es sich denn jetzt doch abschalten beim Lenovo? Offenbar nicht, im Gegensatz zum T2. Ich hab ja auch nie von Intel oder AMD o.ä. gesprochen. Dass das Verhalten dieser 'Sicherheitschips' ziemlich gleich ist, war doch nie das Thema. Das ist ja auch logisch, da es eben 'Fremd-Booting' verhindern soll. Viele User werden das auch genau so wollen - bei Lenovo genau wie bei Apple. Nur macht eben Lenovo eine 'Zwangsveranstaltung' daraus, während Apple dem User die Wahl lässt.

 

[Termy]

Und um ins uefi zu kommen muss ich beim Boot "Entf" drücken. Wo ist die Hürde?

Und wissen, dass es deswegen nicht geht, weil 3rd Party CAs nicht zugelassen sind.
Wie hier immer getan wird, als wäre da auf der Startseite des UEFI eine große Checkbox "Block Linux" o.ä.

 

[cloudman]

Die Fuktion im Bios kann deaktiviert werden, schön und gut. Will ich, das manche "Experten" sich im Bios tummeln?

Lässt es sich denn jetzt doch abschalten beim Lenovo? Offenbar nicht, im Gegensatz zum T2

Hast du dir die auf https://download.lenovo.com/pccbbs/mobiles_pdf/Enable_Secure_Boot_for_Linux_Secured-core_PCs.pdf mal angesehen? Sogar mit Bildchen.

Wer daran scheitert sollte sein OS eh nicht selbst installieren. In den meisten Firmen machen es die Benutzer auch nicht selbst.

Meiner Meinung nach eine an den Haaren herbei gezogene Argumentation um die eigenen Vorurteile zu bestätigen die hier oft vorgebracht wird. Amüsant wie sich die 'Experten' um den 08/15 Dau sorgen.

 

[Atent12345]

Wie hier immer getan wird, als wäre da auf der Startseite des UEFI eine große Checkbox "Block Linux" o.ä.

Ich würde die These aufstellen, dass Nutzer die damit ein Problem haben so etwas rauszufinden auch kein selbst compiliertes Linux oder eine super exotische Distro verwenden. Die großen Distros haben ja durchaus Sicherheitszertifikate und lassen sich mit Pluton secure boot installieren.

 

[7r1c3]

Und wieso kann man dann kein Linux auf dem Lenovo installieren und auf Macs schon?

Probiere es mal mit einem Mac ab 2018 geschweige denn mit einem M1/M2 Mac.
Mal davon abgesehen, dass du bei den angesprochenen Lenovos Linux installieren kannst, wenn du eine Einstellung im UEFI änderst.

Diese Einstellung ist auch nicht neu und auch in ganz normalen Mainboards mit UEFI seit Jahren vorhanden.
Dazu kommt oft auch, dass diese standardmäßig so eingestellt sind, dass auch hier ohne Umstellung kein Linux gebootet werden kann. Hat vermutlich auch wenig damit zu tun, dass hier Linux von den MB Herstellern nicht gewünscht ist, sondern erwartet wird, dass die Mehrheit der Käufer wohl Windows installieren werden und daher Secure Boot entsprechend voreingestellt ist.

Bei meinem aktuellen ASUS Board musste ich sogar zwei Einstellungen ändern, damit ich Linux booten konnte.

Bei Macs mit Secure Boot ist auch hier eine Umstellung nötig, damit Linux gebootet werden kann. Unterschied hier, man muss Secure Boot komplett abschalten.

 

[Miuwa]

Lässt es sich denn jetzt doch abschalten beim Lenovo?

Ja kann man (wurde auf den letzten seiten immer wieder geschrieben und ist auch im Artikel erwähnt).

 

[Termy]

Die großen Distros haben ja durchaus Sicherheitszertifikate und lassen sich mit Pluton secure boot installieren.

Genau diese 3rd-Party-Zertifikate für den shim sind aber ja per Default nicht akzeptiert.

 

[7r1c3]

Genau diese 3rd-Party-Zertifikate für den shim sind aber ja per Default nicht akzeptiert.

Wie bei vielen Consumer Mainboards auch.