News Microsoft Pluton: Security-Chip lässt Linux nicht auf das Lenovo Z13 und Z16

[7r1c3]

Wenn man Microsoft vertraut, dann kann sowas (in der Theorie) eventuell sogar wirklich ein wenig Sicherheit bieten. Secure Boot wäre ja auch ganz brauchbar, wenn nicht MS den Generalschlüssel halten würde und man uneingeschränkt nur eigene Schlüssel nutzen könnte.

Naja du kannst ja deine eigenen Keys nutzen, musst dafür aber ins UEFI. Es kann natürlich sein, dass UEFI xyz die Option nicht hat, dies ist aber dann beim Hersteller zu bemängeln.
Es sagt auch keiner, dass du Microsoft vertrauen sollst, dies tun hier bestimmt die wenigsten.

Solange die Realität aber nicht so aussieht, wie es hier suggeriert wird und es auch nicht so aussieht, als ob sich das ändert, sehe ich kein Grund hier in dem Fall Microsoft einzuhauen. Zumal hier der Hersteller dafür für die Optionen und Standardeinstellungen verantwortlich ist.

 

[Termy]

Naja du kannst ja deine eigenen Keys nutzen, musst dafür aber ins UEFI.

Nicht uneingeschränkt, nein. Wenn du die MS-Keys löschst kann es passieren, dass z.b. deine GPU nicht mehr initialisiert...

Es sagt auch keiner, dass du Microsoft vertrauen sollst, dies tun hier bestimmt die wenigsten.

Das macht dann aber das komplette Themengebiet "Secure Boot" witzlos. Wenn ich dem Zertifikatgeber nicht vertrauen kann, dann bin ich auch nicht wirklich vor "Evil Maid" und co geschützt.

 

[7r1c3]

Nicht uneingeschränkt, nein. Wenn du die MS-Keys löschst kann es passieren, dass z.b. deine GPU nicht mehr initialisiert...

Okay, davon habe ich noch nichts gehört, habe mich damit aber noch nie beschäftigt. Warum ist das der Fall?

Das macht dann aber das komplette Themengebiet "Secure Boot" witzlos. Wenn ich dem Zertifikatgeber nicht vertrauen kann, dann bin ich auch nicht wirklich vor "Evil Maid" und co geschützt.

Na ja es gibt Vertrauen und ich "vertraue" Microsoft keinen scheiß zu Signieren.

 

[Mensch_lein]

Solange die Realität aber nicht so aussieht, wie es hier suggeriert wird und es auch nicht so aussieht, als ob sich das ändert, sehe ich kein Grund hier in dem Fall Microsoft einzuhauen. Zumal hier der Hersteller dafür für die Optionen und Standardeinstellungen verantwortlich ist.

Das nun, sehe ich anders. Das Kind(Secure Boot, TPM, Pluton und wie der Mist so heisst) ist von MS.

Der Hersteller, hier Lenovo, ist der Anwender. Er bezahlt natürlich für sein aufgespieltes OS weniger, wenn er die Option so einstellt. Darum sehe ich nicht nur den Hersteller in der Pflicht, sondern genauso MS, wenn nicht sogar MS um einiges mehr.

 

[7r1c3]

Das Kind(Secure Boot, TPM, Pluton und wie der Mist so heisst) ist von MS

Also TPM ist schon mal von der TCPA (Microsoft ist Mitglied), bei Secure Boot weiß ich das ehrlich gesagt nicht, da aber Apple es auch Secure Boot nennt, gehe ich mal davon aus, dass dies auch keine reine Microsoft Erfindung ist.

Ist ja nicht so, dass Microsoft hier der Welt diktiert wie etwas zu laufen hat, also immer .

 

[Termy]

Warum ist das der Fall?

https://github.com/danielztolnai/vbios-secure-boot
Weil die GPU-Firmware nur durch MS gesigned ist und bei dem ganzen Konstrukt "Secure Boot" eben davon ausgegangen wird, dass man auch die MS-Keys benutzt und nicht NUR eigene. Natürlich sind da auch die GPU-Hersteller mitschuld und dass diese keine einfache Möglichkeit bereitstellen, die Blobs zu signieren ist alles andere als optimal. Gewachsen ist es aber nunmal auf Microsofts Mist.

Na ja es gibt Vertrauen und ich "vertraue" Microsoft keinen scheiß zu Signieren.

Was ja schon bei der Treibersignierung nur sehr bedingt funktioniert.
Und spätestens wenn NSA und co eine Payload signieren wollen geht mein Vertrauen kein Angström über Null
Ganz abgesehen von der Möglichkeit, dass auch nicht-staatliche Schädlinge munter signieren können, sollte der private Schlüssel irgendwann mal geleakt werden (oder worden sein...).

Eine statische Zertifizierungsstelle bei einem Quasi-Monopolisten ist und bleibt einfach eine bescheidene Idee für alle, ausser eben diesem Monopolisten.
Auch wieder: klar sind hier die Mainboardhersteller (mit-)schuld, die nur MS-Zertifikate ausliefern, aber MS hat natürlich auch alles dafür getan, sich als Zertifizierungsstelle nicht in Frage stellen zu lassen.

Ist ja nicht so, dass Microsoft hier der Welt diktiert wie etwas zu laufen hat, also immer .

Das ist ja das perfide an manchen Maßnahmen (generell, eindeutig ist es hier ja auch nicht) -> sie sind kaum nachzuweisen, wenn der Druck subtil genug ausgeübt wird.
Dass Microsoft Marktmacht durchaus zum Diktieren ausreicht haben ja genug Urteile in der Vergangenheit gezeigt

 

[Nore Ply]

(Zumindest teilweise) falsch - Joe und Josefine Jedermann haben nicht mal den wunsch, irgendwas anderes zu nutzen, als mit ihrem Gerät ausgeliefert wurde.

Du schreibst erst "(Zumindest teilweise) falsch" und bestätigst dann was ich schrieb.

 

[Mensch_lein]

https://docs.microsoft.com/de-de/wi...otection/tpm/trusted-platform-module-overview

Automatische Initialisierung des TPM mit Windows​

Ab Windows 10 und Windows 11 wird das Betriebssystem automatisch initialisiert und übernimmt den Besitz des TPM.

@7r1c3

Gut, ich habe mich falsch ausgedrückt. MS hat mit TPM ein Mittel zur Hand, mit dem sie TPM kontrollieren können. Steht sogar auf der MS Seite.

so, das war wieder OT.

https://news.microsoft.com/de-de/mi...erheitschip-fuer-die-windows-pcs-der-zukunft/

Das Kind ist nun aber von MS.

 

[7r1c3]

Weil die GPU-Firmware nur durch MS gesigned ist und bei dem ganzen Konstrukt "Secure Boot" eben davon ausgegangen wird, dass man auch die MS-Keys benutzt und nicht NUR eigene.

Das ist bitter. Hier sind wir dann bei dem Thema, wo es mir nicht gefällt. Ähnlich wie mit dem T2, wo funktionale Hardware künstlich unbrauchbar gemacht wird, sollte man es etwas ausgetauscht haben.

Und spätestens wenn NSA und co eine Payload signieren wollen geht mein Vertrauen kein Angström über Null

Richtig, aber hier kannst du keinen Unternehmen trauen, welches von dem entsprechenden Staat verpflichtet werden kann.
Mir ging es eher um die nicht Staatlichen dinge

Eine statische Zertifizierungsstelle bei einem Quasi-Monopolisten ist und bleibt einfach eine bescheidene Idee für alle, ausser eben diesem Monopolisten.

Ja, stimme dir hier voll und ganz zu

 

[Termy]

Du schreibst erst "(Zumindest teilweise) falsch" und bestätigst dann was ich schrieb.

Nicht wirklich - würde auf dem Großteil der Geräte eine Linux-Distro ausgeliefert gäbe es bei Joe und Josefine genauso wenig Windows-Umsteiger wie es heute andersrum ist.

Richtig, aber hier kannst du keinen Unternehmen trauen, welches von dem entsprechenden Staat verpflichtet werden kann.

Deswegen ist Open Source auch die einzige Lösung, die (rein prinzipiell) überhaupt sowas wie "trusted computing" erlauben kann.

Mir ging es eher um die nicht Staatlichen dinge

Auch da ist Gefahr da, dass der private MS-Key gestohlen wird (oder schon wurde) und Malware signiert werden kann. Da der Keystore für Secure Boot aber kein "ungültig machen" (auf globaler Ebene) vorsieht wären damit dann plötzlich alle Geräte in der Hinsicht schutzlos. Hat natürlich nicht mehr direkt nur was mit MS an sich zu tun - aber unschuldig an der Lage ist MS eben definitiv auch nicht ^^

 

[Nore Ply]

Einmal kurz ins UEFI, Pluton ausschalten und jeder kann wieder sein gewünschten Bastelsystem aufspielen.

Falls ich die Beiträge hier richtig verstanden habe, dann braucht man Pluto nicht ausschalten sondern muss lediglich die 3rd Party Zertifikate erlauben.

Es gibt nicht nur Nerds auf dem Planeten 🙂

Ich wiederhole mein Argument: die Hürde um einen Bios Switch zu setzen ist bei weitem nicht so hoch das man ein Nerd sein müsste. Sie liegt in meinen Augen auf dem Niveau anderer Fertigkeiten die man braucht wenn man Linux installieren und nutzen will.

Naja du kannst ja deine eigenen Keys nutzen, musst dafür aber ins UEFI.

Das war mir neu. Danke fürs erwähnen.

 

[7r1c3]

@Termy

Ich stimme dir hier absolut zu, würde ich auch alles besser und richtiger finden.
Leider sieht es aber aus verschiedenen Gründen anders aus und das aktuelle System ist besser als gar keins.

Deswegen ist Open Source auch die einzige Lösung, die (rein prinzipiell) überhaupt sowas wie "trusted computing" erlauben kann.

Ja, dafür müsste man sich darauf aber erst mal einigen, und hier ist vermutlich auch schon das größte Problem.
"Wir" sind nicht diejenigen, die so etwas entscheiden können und auch mit unserem Geld haben wir so gut wie keinen Einfluss.

Aber um noch mal auf den eigentlichen Artikel zurückzukommen, Pluton hat hier weder eine Verbesserung noch eine Verschlimmerung in Bezug auf Linux bei den entsprechenden Lenovo Geräten gebracht.

 

[xexex]

Das nun, sehe ich anders. Das Kind(Secure Boot, TPM, Pluton und wie der Mist so heisst) ist von MS.

Nein!

In a manner similar to smart-card chips attached to the motherboard, IBM PCs were the first to use TPMs (similar security coprocessors had been used in mainframe computers for decades). HP and Dell soon followed suit in their PCs, and by 2005 it was difficult to find a commercial PC that did not have a TPM.
https://link.springer.com/chapter/10.1007/978-1-4302-6584-9_1

Microsoft saß zwar von Anfang an im Boot bei dem TCPA Konsortium, was später in dem TCG Konsortium aufgegangen ist, ähnliche Sicherheitssysteme gab es aber schon früher. Nicht Microsoft hat sich hier was ausgedacht, um damit die Nutzer zu "gängeln", die Anforderungen an solche Hardware gab es schon davor.

The first applications to use the TPM were proprietary applications that were shipped with the machines that had the first versions of TPMs. These included IBM’s password manager and file and folder encryption, which used the TPM to store encryption keys. Dell, HP, and Infineon have their own varieties of these applications. Generally speaking, they work well, but are intended to focus on very specific usage models.

Secure Boot ist letztlich eine TPM Implementierung von Microsoft, um den Bootvorgang eines Rechners abzusichern. TPM Chips gab es in den Geräten aber lange vor Secure Boot und UEFI.

 

[Kuristina]

..die Hürde um einen Bios Switch zu setzen ... liegt in meinen Augen auf dem Niveau anderer Fertigkeiten die man braucht wenn man Linux installieren und nutzen will.

Das sagt eigentlich nur aus, dass du dich mit dem Installieren und Nutzen von Linux schwerer tust, als es tatsächlich ist.

 

[7r1c3]

Das sagt eigentlich nur aus, dass du dich mit dem Installieren und Nutzen von Linux schwerer tust, als es tatsächlich ist.

Die Aussage funktioniert in beide Richtungen

Beides ist nicht schwer

 

[Spike S.]

Womit machen die meisten Menschen heutzutage ihre Fotos?

Wohin landen Fotos und Videos

wo werden sie Freunden und Bekannten meist gezeigt?

Handy, Digikam

Speicherkarte oder interner Speicher

Laptop oder Tablet per Miracast oder Kabel am Fernseher, da sitzt man auch gleich gemütlich in einer Runde und ballert die Leute nicht kommentarlos mit zig oder hunderten Bildern zu. Einzelne Bilder auch per Mail.
Es gab auch eine Welt vor der Cloud^^
Und Linux zu unterstellen, es wäre überhaupt nicht möglich damit Clouddienste zu nutzen ist auch ein bisschen an der Realität vorbei. Es sind nur nicht die fancy Apps der Big Five bei denen alle Daten durch das Silicon Valley geschleust werden.

vermutlich nicht mal weiß was heutzutage alle möglich ist.

Jupp. Interessiert sie aber auch nicht.

Wer nicht fähig ist im UEFI eine Option umzustellen, sollte Versuche alternative Betriebssysteme zu installieren am besten gleich ganz lassen.

Wie deine Meinung zu Clouddiensten, ist auch dies hier ziemlich Schwarz-Weiß gedacht. Klingt nämlich so, das man sich damit niemals auseinandersetzen darf um bei eventuellem Interesse doch was dazuzulernen. Alles was du rundum den PC weißt, hat dir doch sicherlich keiner am Stück beigebracht. Da war doch mit Sicherheit auch entweder vorher ausgiebiges Belesen oder "Versuch und Irrtum" dabei.

Blöd nur, dass man um überhaupt von einem Stick booten zu können meist sowieso ins UEFI muss

Muss man nicht. Die Boards und Laptops die ich aus den letzten 10 Jahren in der Hand hatte, hatten alle eine "Quickboot" Option, die meisten zeigten es auch gleich beim Start an "DEL for options, F8 for Boot menu" (sinngemäß)

 

[Kuristina]

Die Aussage funktioniert in beide Richtungen

Von mir aus kannst du jedem 08/15 User raten im Bios rumzufummeln. Mal schauen was passiert. 🙂

 

[7r1c3]

Mit einer vernünftigen Anleitung (wie zum Beispiel von Lenovo in Fall des Artikels) nicht viel, ohne Anleitung bekommt ein 08/15 User aber auch keine Installation von Linux oder Windows hin. Im besten Fall ist sogar alles in einer Anleitung beschrieben. Es war eventuell mal anders, als wir alle noch CD/DVD-Laufwerke hatten und Zeitschriften Live-CD verteilt haben, nun müssen die User aber erst mal schauen, wie sie einen Boot baren Stick erstellen. Alles kein Hexenwerk, aber dennoch ist es kein Wissen, welches man einfach hat.

 

[Kuristina]

ohne Anleitung bekommt ein 08/15 User aber auch keine Installation von Linux oder Windows hin.

Du hast damals für deine erste Windows-Installation eine Anleitung gebraucht? Wirklich?

 

[7r1c3]

Du hast damals für deine erste Windows-Installation eine Anleitung gebraucht? Wirklich?

Also meine erste Windowsinstallation war noch auf Disketten und ja, ich glaube, ich habe es mit einer Anleitung gemacht. Ich weiß nicht, wie es bei dir ist, aber ich weiß dinge nicht einfach so, ich muss mindestens einmal die Informationen aufgenommen haben.

Aber mal davon abgesehen, heute ist doch das Erste, erst mal ein Boot baren Stick erstellen, wenn man sich keinen fertigen Stick zuschicken lässt. Ich kenne jetzt keinen 08/15 User, der es ohne Anleitung könnte. Man weiß doch nicht einfach so, welche Tools am besten man nutzt, oder welche Befehle man eingeben soll etc. pp. Wir hier können es bestimmt alle, nur stellen wir nicht einen 08/15 User dar.