News Microsoft Pluton: Security-Chip lässt Linux nicht auf das Lenovo Z13 und Z16

[Kuristina]

Ich weiß nicht, wie es bei dir ist, aber ich weiß dinge nicht einfach so, ich muss mindestens einmal die Informationen aufgenommen haben.

Ja, beim Stick musste ich auch erst googlen. Aber eine Windows Installation find ich selbsterklärend. Und Linux auch, wenn es eine normale Distro ist. Sprache, Zeitzone, Name, Passwort..

Bei Arch kann ich eine Anleitung nachvollziehen, hatte ich ja selber auch.

 

[7r1c3]

Aber eine Windows Installation find ich selbsterklärend. Und Linux auch

Richtig, heute ist alles leicht, aber man muss erst zur Installation kommen, und es war damals schon oft nicht einfach CD einlegen und heute auch nicht immer einfach Stick hereinstecken.

Nicht immer war/ist das BIOS/UEFI so eingerichtet, dass nicht direkt von CD/Stick gebootet wird und nicht jedes BIOS/UEFI hatte/hat eine Quick Boot Option.

Ich kann mich noch daran erinnern, wie öfter mal gefragt wurde, warum die Windows CD nicht bootet.

 

[Bens Hur]

Soll mir recht sein.

Dann kauf ich eben statt Lenovo Z dingsenbumsen ein anderes Notebook.

Vorzugsweise eines von speziellen Anbietern, die Linux-Systeme vorinstalliert und vorkonfiguriert anbieten. Gibt ja mittlerweile genug. Die freuen sich alle über Geschäfte.

Es gibt doch weiß Gott genug Alternativen, wenn man googeln kann.

 

[Maviapril2]

Das hat mit dem Thema aber nun gar nix zu tun, oder?

Und wieso kann man dann kein Linux auf dem Lenovo installieren und auf Macs schon?

Oh je, ich merke gerade den Fehler, du redest nur von T2-Geräten... das mit allen Macs waren andere Nutzer... sorry. Das ist dann natürlich nicht explizit an dich gerichtet

Manche hier meinten, dass Macs sehr Linux-kompatibel sind und damit viel offener wären als die Lenovos mit dem hier vorgestellten Chip. De facto ist so ein Lenovo aber schon relativ offen, denn alles was man für die Installation eines Linux tun muss ist die Änderung einer BIOS-Einstellung. Beim Mac ist die Installation mit mehr Konfigurationsaufwand verbunden, und je nach Modell danach nicht wirklich nutzbar, da z.B. essenzielle Funktionen wie WLAN nicht gehen...

 

[cloudman]

Steht jetzt AMD eigentlich auch auf der schwarzen Liste? Im Gegensatz zu Intel haben sie sich doch entschlossen pluton in die CPU zu integrieren

 

[catch 22]

Blöd nur, dass man um überhaupt von einem Stick booten zu können meist sowieso ins UEFI muss.

Bei HP OEM Desktops oft genug nicht erforderlich, man kann über eine F-Taste oft genug ein Menü aufrufen, bei dem man für den nächsten Bootvorgang das Bootmedium auswählen kann, wenn die ganze Sacher nicht im Uefi deaktiviert wurde.

 

[xexex]

wenn die ganze Sacher nicht im Uefi deaktiviert wurde.

Eben! Heutige Geräte sind meist auf schnelles Booten ausgelegt und zeigen nicht erst Sekunden lang irgendwelche "Press xy to wz" Dialoge an, sondern bestenfalls eine "schöne" Herstelleranimation. Das Booten von fremden Medien ist letztlich aber sowieso etwas, was man als erstes bei solchen Geräten deaktivieren sollte, wenn nicht schon vom Hersteller so konfiguriert.

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

Was hier bei der ganzen Diskussion mal wieder komplett vergessen wird, ist der Grund wieso die Notebooks so vorkonfiguriert ausgeliefert werden. Wenn man sich ein Gerät mit vorinstallierten Windows kauft, will man da nicht etwa standardmäßig alle Sicherheitsfeatures aktiviert haben? Nur weil vielleicht 1% der Nutzer da Linux drauf spielen wollen, sollen die restlichen 99% der Nutzer auf Sicherheit verzichten? Da kann man nur noch mit dem Kopf schütteln.

 

[cloudman]

@xexex ist doch sinnlos weiter zu argumentieren.
Microsoft ist das Böse und will Linux mit aller Gewalt zerstören. Der arme User kann zwar Linux ohne Probleme installieren ist aber klar überfordert eine einzige Einstellung zu ändern wenn er sich einen Business Laptop von Lenovo kauft.
Mal angenommen es wäre anders herum und man bekommt den Laptop mit Linux ausgeliefert und müsste für Windows eine Einstellung ändern wäre der Jubel groß.
Hier sind meiner nach einfach zu viele vorgefasste Meinungen im Spiel.
Dazu kommt, daß mittlerweile aus jeder Mücke ein Elefant gemacht wird.

 

[Spike S.]

@xexex und @cloudman
Ich persönlich bin klar für eine Sicherung mobiler Geräte. Würde auch nie ein Handy mit CustomROM und offenem Bootloader als "Daily Driver" nutzen. Pluton ist aber Mist weil es proprietär ist, damit andere Alternativen ausschließt und durch die Marktmacht weniger sehr großer Firmen in den Markt gedrückt wird (ja, das Lenovo Dingens ist erst ein Modell, aber diese Absicht ist nicht von der Hand zu weisen). Und ich bin mir eben sicher, wenn man das einfach alles hinnimmt, verschwindet über Kurz oder Lang die Möglichkeit das im UEFI zu ändern.
Warum keine Lösung die andere OS auch berücksichtigt?
Bei GrapheneOS auf Pixel Geräten geht es doch auch, da wird der Sicherungschip mit genutzt und der Bootloader ist am Ende nach dem Flashen wieder geschlossen.

 

[Luthredon]

Natürlich und hätte @SVΞN nicht den Titel so reißerisch gewählt und die meisten Schreihälse hier den Text nur selektiv überflogen, bräuchte man die schwachsinnige Diskussion hier nicht.

Ich gebe zu, ich habe jetzt - beim 3.Mal Lesen - das 'im Auslieferungszustand Win-only' wahrgenommen.
Mea culpa .

Einmal kurz ins UEFI, Pluton ausschalten und jeder kann wieder sein gewünschten Bastelsystem aufspielen.

Aber dann ist der Artikel wirklich völlig überflüssiger Unsinn. Das rückt auch mein Rechtsverständnis wieder gerade und Lenovo muss nichts kommunizieren, von wegen 'Windows-only'.

Ergänzung (12. Juli 2022)

Ja kann man (wurde auf den letzten seiten immer wieder geschrieben und ist auch im Artikel erwähnt).

Danke nochmal (auch an 7r1c3), jetzt hab ichs auch begriffen

Und klar, wer im BIOS nichts 'schalten' will, bzw. sich ändern traut, sollte vermutlich eh kein Linux aufspielen. Wie schon gesagt, man muss tatsächlich feststellen, dass der Artikel Quatsch ist. Überflüssig.

 

[catch 22]

Eben! Heutige Geräte sind meist auf schnelles Booten ausgelegt und zeigen nicht erst Sekunden lang irgendwelche "Press xy to wz" Dialoge an, sondern bestenfalls eine "schöne" Herstelleranimation.

Doch, besagte Einblendung für die Tastenkürzel werden angezeigt. Das ganze passiert zeitgleich mit der Anzeige des nicht animierten HP Logo und ist etwa nach 1 bis 2 Sekunden(? - nicht im Ansatz lang genug, um in Ruhe die Information zu studieren, man muss schon in die richtige Ecke des Bildschirms schauen und sollte Konzentriert sein, um die Informationen aufzunehmen und muss ggf. selbst dann noch 2 oder 3 mal da "durchbooten") erledigt.

 

[xexex]

Doch, besagte Einblendung für die Tastenkürzel werden angezeigt.

Bei deinem Gerät vielleicht, aber schaue dir das verlinkte Video mit den Lenovo Notebooks an. Bei dem linken konnte man noch einen Schriftzug lesen, bei dem rechten ist der schlichtweg nicht da.

Ich würde einfach mal behaupten, dass bei den meisten Geräten diese Schriftzüge oder gar irgendwelche Informationen nicht mehr angezeigt werden. Selbst bei Mainboards ist die Voreinstellung heutzutage "Full Screen Logo".

 

[Phintor]

Was wurde ich belächelt und als "Verschwörungstheoretiker" bezeichnet als ich genau diese Entwicklung vorraus gesagt habe.

Wann raffen es die Daus endlich, dass alles was technisch machbar ist, auch umgesetzt wird?

Secure Boot, TPM und Co dienen NICHT eurer Sicherheit. Es ist Hardware gestützte Enteignung und Überwachung, die Euch die Kontrolle über Eure Hardware entzieht. Euch vorschreibt wie ihr Eure Hardware benutzen dürft und welche Software ihr installieren dürft und welche nicht.

Nächster Halt, Software Installation erst nach entrichten eines „Lösegeldes“ an Microsoft und Co, damit die Installation von zB Photoshop oder Affinity Photo erlaubt wird.

Ergänzung (12. Juli 2022)

um anderen werden Computer zum programmieren benutzt und niemand würde Windows oder MacOS benutzen, wenn er nichtmal seine selbstgeschriebene Software benutzen könnte

Schutzgebühr an MS, Zusendung eines Zertifikats das dem Chips mitteilt, dass du berechtigt bist Software auszuführen, welche nicht in der hinterlegten Whitelist aufgeführt ist.
Selbstverständlich zeitlich begrenzt und auf eine bestimmte Anzahl von Starts beschränkt. Ein mehr kostet zusätzlich. Vorbild Gewisse Drucker Hersteller und ihre Abos

 

[Eddy021771]

Und dieses "Sicherheitsupdate" kommt dann natürlich per Automatischem Zwangsupdate - das hier im Forum die meisten Nutzer superduper finden und immer verteidigen und jeden der es blockieren will für dumm erklären.

Was soll man sagen, es gibt eben intelligente Menschen, die mit bedacht dargebotene Funktionen nutzen oder deaktivieren und es gibt eben Menschen, die eben nicht mit genug Intelligenz gesegnet sind und solchen Automatismen gehorsam folgen, alles zum Wohle ...... nein natürlich nicht der Menschheit, sondern zum Wohle der Aktionäre. Sicherheit, Funktionsfähigkeit oder gar Anwenderfreundlichkeit steht keinesfalls im Jahresbericht, da stehen nur Zahlen die aufzeigen wie viel die Aktionäre am Ende überwiesen bekommen.

 

[ComputerJunge]

@Phintor
Dein Post passt inhaltlich zum Titel des hier diskutierten Artikels wie die "Faust auf's Auge".

 

[cloudman]

Secure Boot, TPM und Co dienen NICHT eurer Sicherheit. Es ist Hardware gestützte Enteignung und Überwachung

Hast du vielleicht technische Details wie eine Überwachung mit dem TPM funktioniert?
Ich habe mich zwar etwas mit der TPM Technologie auseinander gesetzt aber vielleicht habe ich etwas übersehen.
Baut das TPM automatisch eine Verbindung zu den MS Servern auf und werden dafür Windows APIs benutzt oder bringt das TPM seinen eigenen TCP Stack mit?

 

[7r1c3]

@cloudman er will vermutlich auf darauf hinaus, dass Microsoft kontrollieren könnte welche Software wir nutzen dürfen etc, also nicht um die klassische Überwachung von dem, was du so mit deinem Gerät treibst.

Seit mindestens 2008 liest man von diesen Ängsten.
Mir ist jetzt kein Missbrauch bekannt, dürft mich aber mit Quellen informieren, wenn es doch Vorfälle gibt oder gab.

Die gleiche Person, dessen Artikel hier diese News auf CB produziert hat, schrieb im Januar:

Pluton is not (currently) a threat to software freedom
https://mjg59.dreamwidth.org/58125.html

und dies ist der Eintrag, welcher die News produziert hat:

Lenovo shipping new laptops that only boot Windows by default
https://mjg59.dreamwidth.org/59931.html

Quasi eine Feststellung, dass dort 3rd Party UEFI CA standardmäßig nicht aktiv sind.

Allem in allen haben wir wie immer nicht die beste Lösung, aber es ist in meinen Augen besser als keine.
Mir ist aber auch keine Alternative von TPM, SB, Pluton, etc bekannt, die jemals im Gespräch war.
OpenTitan ist so etwas aber glaube ich:
https://opentitan.org/

TPM ist auch nicht nur für Windows da, Linux kann und nutzt es ebenso unter anderem für Verschlüsselungen.

 

[cloudman]

@7r1c3 Schade ich hatte gehofft erleuchtet zu werden 😀

Das TPM hat gar nicht genügend Speicher um mehr als ein paar keys zu speichern.

IMHO nichts weiter als unbelegte Verschwörungstheorien die seit Jahren an die Wand gemalt werden.
TPM gibt es schon seit mehr als 10 Jahren und was ist seitdem schlimmes passiert. Ich bin zugegeben genervt, wenn diese Theorien immer wieder in den den Raum gestellt werden, ohne da sich die Leute mit technischen Hintergründen auseinander setzen.

Noch dazu braucht MS dafür gar kein TPM/Pluton. Sie müssten z.b nur Software Restriction Policies als Grundlage nehmen.
https://docs.microsoft.com/de-de/wi...iction-policies/software-restriction-policies.

Wie schafft es Adobe sein Abo Modell ohne TPM zu implentieren?
Oder Office 365?

Warum verwendet Azure Sphere Linux und ist Open Source?

Und warum ist MS eigentlich Platinum Member der Linux Foundation wenn sie es doch so bekämpfen ?



Ob Pluton jetzt wirklich sicherheitstechnisch der große Wurf ist sei mal dahingestellt - dafür fehlen mir Infos und know how.
Den Untergang des freien PCs sehe ich nicht.

 

[Nore Ply]

Was wurde ich belächelt und als "Verschwörungstheoretiker" bezeichnet als ich genau diese Entwicklung vorraus gesagt habe.

Echt jetzt? Du hast wirklich voraus gesagt das ein Hersteller im Bios eines Laptops den Switch für 3rdParty-Zertifikate, mittels derer Linux installiert und gestartet werden kann, von default "Yes" auf Default "No" setzt?
Wow! Nach so einer Vorhersage sollten die Lottozahlen vom nächsten Samstag ein Klacks sein.

 

[Mensch_lein]

Wieso dreht sich die Diskussion nun darum, ob es gar nicht so schlimm sei? Es geht darum, das Pluton keinen Mehrwert hat, keinerlei Sicherheitszugewinn. DAS ist die Crux. Nicht ob man persönlich dem Ganzen etwas abgewinnen kann/soll/muss/will.
Es ist eine weitere Sache, welche ein Potenzielles Einfallstor für Schadcode sein kann.

Natürlich darf man da anderer Meinung sein. Aber aussagen ala : "Wer nicht ins Bios will, sollte Linux meiden"

zeigen mir eher, das man einer ernstgemeinten Diskussion abgeneigt ist und nur seine Pfründe verteidigt, auch und selbst wenn man nichtmal bei MS angestellt ist.

Wer nicht zockt und dementsprechend teure Hardware besitzt(also auch Lizenzkosten an MS auf einer Backe zahlen kann)der sollte Linux nutzen. Meine Meinung und die ist(für MICH) fundiert genug. Jahrzehnte langes Gängeln von MS mit seinem OS sind meine Erfahrungswerte dazu. Seit 1984 arbeite ich mit Rechnern, es ist also ein kleines bisschen Erfahrung mit MS und seinen Machenschaften.