News Microsoft Pluton: Security-Chip lässt Linux nicht auf das Lenovo Z13 und Z16
- Ersteller SVΞN
- Erstellt am
- Zur News: Microsoft Pluton: Security-Chip lässt Linux nicht auf das Lenovo Z13 und Z16
A
Atent12345
Gast
Mensch_lein schrieb:
Ich glaube, du hast dich noch nie damit befasst wie updates für secure vaults und masked logic gehandhabt werden. Wenn das vernünftig gemacht ist, bestände zumindest nach derzeitigen paperstand und meiner eigenen beruflichen Erfahrung darin kein Problem. Im Zweifel packt man einen burnable PROM dahinter.
@lynx007 Der Harken deaktiviert nicht Pluton, sondern lässt Pluton Zertifikate die nicht von MS stammen (wie die für Windows oder die großen Linux Distros) akzeptieren.
Mensch_lein
Lieutenant
- Registriert
- Nov. 2021
- Beiträge
- 842
Nein, davon hab ich herzlich wenig Ahnung. Ich sehe meinen Erlebnishorizont und der ist, was MS angeht eher nicht der Meinung, das MS irgendetwas Vernünftig macht.Atent12345 schrieb:
Für mich ist aber klar, dass wenn Menschen wie Rüdiger Weis genügend darüber wissen, und es als nicht gut empfinden, ich es auch als mindestens kritisch ansehe. Da vertraue ich auf deren Expertise. Genauso wie beim CCC. Dazu haben die mich noch nie belogen.
MS und die Politiker aber schon mehrfach, genauso wie Geheimdienste und Wirtschaftsweise.
Creeping.Death
Rear Admiral
- Registriert
- Juni 2005
- Beiträge
- 5.654
Ich möchte nicht bestreiten, dass TPM seine Tücken hat. Aber der zitierte Rüdiger Weis hat 2013 (das war vor 9 Jahren!) behauptet:Mensch_lein schrieb:
Das hat sich bis zum heutigen Tag nicht bewahrheitet. Zumindest das heutige übliche TPM-Modul in CPUs lässt sich deaktivieren und war zumindest bis vor Kurzem sogar standardmäßig inaktiv.
Mensch_lein
Lieutenant
- Registriert
- Nov. 2021
- Beiträge
- 842
Genau, die Aussage war von 2013. Ich sagte ja nicht, das sich seither nichts verändert hat. Die Frage für mich ist da nicht warum. Der Aufschrei war gross. Darum wurde das Ganze nicht so umgesetzt, wie es damals geplant war oder vorbereitet. Die Analyse von Rüdiger Weis war eine Momentaufnahme. Darum muss man es als das sehen, was es ist. Das bedeutet aber NICHT, das TPM plötzlich gut wäre. Nein, man braucht Pluton, damit es sicherer sei. Also wie ich schon vor einigen Seiten hier erwähnte, man versucht etwas unsicheres(was als sicherheitsplus verkauft wurde)nun sicher zu machen mit etwas, das genauso umgehbar sein wird.
A
Atent12345
Gast
@Mensch_lein
Ich kenne Weis durchaus (sowohl über meine Arbeit beim CCC, über eine Forschungskooperation zwischen unseren beiden Hochschulen und ich habe ihn auch mal auf der Washington Konferenz getroffen). Er ist halt Informatiker durch und durch. Von VLSI Design hat er nur bedingt Ahnung. Darum ging es auch bei der Kooperation. Er tendiert dazu side chanel der Kryptographie zu vernachlässigen. Da sehe ich z.B. einen großen Vorteil bei TPM. Ob Microsoft die Marktmacht langfristig nicht missbraucht (aktuell gibt es ja durchaus Linux Distributionen mit MS Zertifikat und die Option Drittanbieter Zertifikate zuzulassen)
Außerhalb einer sehr kleinen Blase war der Aufschrei zu dem Thema quasi nicht existent. Das hatten die auch damals ohne Probleme durchdrücken können.
Ich kenne Weis durchaus (sowohl über meine Arbeit beim CCC, über eine Forschungskooperation zwischen unseren beiden Hochschulen und ich habe ihn auch mal auf der Washington Konferenz getroffen). Er ist halt Informatiker durch und durch. Von VLSI Design hat er nur bedingt Ahnung. Darum ging es auch bei der Kooperation. Er tendiert dazu side chanel der Kryptographie zu vernachlässigen. Da sehe ich z.B. einen großen Vorteil bei TPM. Ob Microsoft die Marktmacht langfristig nicht missbraucht (aktuell gibt es ja durchaus Linux Distributionen mit MS Zertifikat und die Option Drittanbieter Zertifikate zuzulassen)
Außerhalb einer sehr kleinen Blase war der Aufschrei zu dem Thema quasi nicht existent. Das hatten die auch damals ohne Probleme durchdrücken können.
- Registriert
- Sep. 2018
- Beiträge
- 3.468
Ich auch, er war 'ne Klasse unter mir.Atent12345 schrieb:
Damals waren Computer für mich allerdings noch "Teufelszeug". Folgen konnte ich manchen seiner Ausführungen im Treppenhaus oder dem Pausenhof auch schon damals nicht, was allerdings ausnahmslos an meiner Kenntnislosigkeit lag.
Schau dir mal bitte an wie aufwendig die erfolgreichen Attacken auf Bitlocker sind.Mensch_lein schrieb:
Physikalischer Zugriff auf den Rechner ist notwendig. Dann wird ein Fpga verwendet um die keys beim booten abzugreifen.
Sobald man eine Pin für Bitlocker verwendet (wie es eigentlich best practice ist und auf unseren Laptop per GP vorgeschriebenen ) funktioniert dir Attacke nicht mehr.
Mit Pluton wird der Bus nicht mehr verwendet und macht diesen Angriff dann unmöglich selbst wenn keine PIN verwendet wird.
Generell ist der Vorteil eines TPMs das dort keys gespeichert werden die den Chip nicht verlassen. Das wird z.b. für Windows Hello verwendet. Pin oder biometrische Schlüssel liegen im TPM und lassen sich daraus nicht auslesen wenn man nicht über Umwege an die abgeleitetn Keys heran kommt (LPC Bus Attacks).
Warum ist eine Pin sicher als ein Passwort? Im TPM liegt das eigentliche komplexe Passwort. Die PIN wird nur verwendet um den Tresor zu öffnen der dann das komplexe Passwort herausrückt. Selbst wenn du deine PIN jemandem verrätst kann er über das Netz nicht damit anfangen. Er müsste dafür an deinem Rechner sitzen. Die komplexen Passwörter sind sehr viel sicherer als jedes ausgedachte Passwort. Technisch stimmt meine Beschreibung nicht ganz weil es noch deulich komplexer ist - ich will nur ungefähr erklären was da passiert.
Grob vereinfacht kann man sich ein TPM als Tresor vorstellen mit der Besonderheit das man aus ihm nichts entnehmen kann.
Du sagst dem TPM hier habe ich eine Information bitte mit meinem key verschlüsseln oder hier habe ich etwas verschlüsseltes bitte entschlüssen. Den keys selbst rückt das TPM nicht mehr heraus.
So du hast zwar Recht das Pluton die Sicherheit verbessert aber TPM als generell unsicher zu betrachten ist nicht richtig. Absolute Sicherheit wird es nie geben aber Verbesserung sind meiner Meinung nach zu begrüßen.
Sicherheit ist leider sehr komplex und nur Pluton ist sicherlich nicht die Lösung aller Probleme aber eben ein Baustein den man einsetzen kann um eine Schwachstelle (die wie wie gesagt nicht einfach auszunutzen zu) zu stopfen.
Nicht mehr und nicht weniger.
Es hat sich nicht nur seitdem, sondern sogar kurz danach die Einstellung zu TPM verändert. Der Artikel bei Wikipedia wurde nur nie auf den aktuellen Stand gebracht oder irgendjemand aus der "Aluhutszene" blockiert bewusst die Richtigstellung.Mensch_lein schrieb:
Zu TPM gab es bereits 2013 eine Korrektur seitens dem BSI ....
Der aktuelle Stand:
https://www.bsi.bund.de/DE/Service-...ien/SiSyPHuS_Win10/AP5/SiSyPHuS_AP5_node.html
Der FUD von 2013 zieht sich aber leider bis heute Kreise und wird dummerweise auch noch immer wieder zitiert....
@xexex danke die detaillierte BSI Informationen kannte ich nicht.
Ich hatte schon mal angeregt, dass Computerbase einen verständlichen Artikel zu TPM bringt.
Nach diesem Artikel hier zu Pluton bin ich allerdings nicht sicher ob dazu genügend know how vorhanden ist.
Ich würde ja einen Leser Artikel schreiben wenn ich etwas begabter wäre dieses komplexe Thema vernünftig zu beschreiben. Ist aber leider nicht wirklich meine Stärke. Bin eher der Dev Typ der lieber Code als Prosa schreibt 😉
Ich hatte schon mal angeregt, dass Computerbase einen verständlichen Artikel zu TPM bringt.
Nach diesem Artikel hier zu Pluton bin ich allerdings nicht sicher ob dazu genügend know how vorhanden ist.
Ich würde ja einen Leser Artikel schreiben wenn ich etwas begabter wäre dieses komplexe Thema vernünftig zu beschreiben. Ist aber leider nicht wirklich meine Stärke. Bin eher der Dev Typ der lieber Code als Prosa schreibt 😉
Es gibt vom BSI eine detaillierte Analyse diverser Sicherheitskomponenten von Windows 10, eine solche Tiefe kriegt man bei CB schlichtweg nicht unter, hier schaffen die Leser oft nicht einmal einen einfachen Artikel zu Ende zu lesen, geschweige denn zu interpretieren.cloudman schrieb:
https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Studien/SiSyPHuS_Win10/SiSyPHuS_node.html
Normalerweise kann man aber diese "Funktionen" nicht abschalten, denn MS verfolgt damit ja ein klares Ziel.Eddy021771 schrieb:
War doch auch so, als mal per Update ein Kopierschutztreiber blockiert wurde und damit diverse ältere Spiele mit einem bestimmten Kopierschutz nicht mehr spielbar waren.
MS hat auch schon häufiger Updates als "kritische Sicherheitsupdates" deklariert, obwohl es rein gar nichts damit zu tun hatte (bspw. solche, die das Upgrade auf Win10 ermöglichten).
Ja Macrovision hatte den Treiber jahrelang nicht mehr aktualisiert obwohl er unsicher warj-d-s schrieb:
https://www.cvedetails.com/cve/CVE-2006-1197/
Daraufhin wurde er blockiert. Es ging also sehr wohl um Security
Mensch_lein schrieb:
Dir mag es darum gehen. In der News geht es nur um den Bios Switch.
Ergänzung ()
Jahrelang konnte man Geräte für Windows verkaufen ohne deshalb Linux per Default-Settings erstmal auszuschließen.7r1c3 schrieb:
Was hat sich geändert? Es geht um ein Security Label. MS vergibt das Label, MS gibt entsprechend auch vor was dafür getan werden muss. Kaum überraschend das MS bei einem Secured Windows PC gerne sehen möchte das per Default Windows, Windows, Windows, oder - wenn es denn unbedingt sein muss - Windows gestartet wird.
Problematisch wäre das in meinen Augen wenn es nicht umkehrbar wäre. Ist es aber, dem Bericht nach ohne übertriebenen Aufwand durch Bios-Switch. Problematisch wäre imA auch wenn das auf nicht-Secured-Windows-PC übergreifen würde. Aber dagegen kann ich erst protestieren wenn es denn wirklich so kommt.
Zuletzt bearbeitet:
Eddy021771
Ensign
- Registriert
- Juni 2012
- Beiträge
- 226
im normalfall würde ich Dir ja Recht geben, aber es arbeiten bei MS eben nicht nur dumme Leute und die Gefahr das noch mehr aus dem Windows Universum abwandern ist eben viel größer wenn man zuviel auf einmal ändert, wenn man kleine Schritte macht in die Richtung in die man gerne will gewöhnen sich die User dran, weil, der Unterschied ist ja jedesmal nur relativ gering, die Zeit als Microsoft schalten und walten konnte nach gut dünken, weil Sie im Privatem Umfeld einfach 95% Marktmacht hatten sind zum Glück vorbei, heutzutage gibt es eben auch wieder Apple, Linux, Tabletts und Handys, aber mach mal sowas Aktionären klar das man vor ein paar Jahren noch 5 Milliarden Nutzer hatte und heute vielleicht noch 3 Milliarden (Zahlen aus der Luft gegriffen), aber die sollen ja trotzdem jedes Jahr noch mehr Umsatz bringen, MS muss also nun ein Weg suchen mit weniger Nutzern steigende Umsätze zu generieren um diese Bande von Aktionären zufrieden zu stellen und da ist es die große Keule zu schwingen sicher weniger effektiv als eben kleine Schritte zu machen und die noch vorhandene User schar nicht zu verschrecken, Appel hatte irgendwie das Glück gehabt als die Ihr eigenes Universum aufbauten das der User gesagt hat, he ganz schön teuer, aber irgendwie funktioniert wenigstens alles, davon ist MS ja weit entfernt.j-d-s schrieb:
Kannste doch - hindert dich doch keiner!?catch 22 schrieb:
Wenn man die Kiste zudreht, wie man es machen wird, wenn einem Sicherheit am Herzen liegt, dann musst du eh ins Bios. Also warum ist die eine Einstellung denn jetzt ein wirkliches Problem und die anderen nicht!?
Das ist eben der Punkt. Man versucht das installierte OS zu sichern vor externen Einflüssen. Denn wenn das DIng einmal gebootet und offen ist, ist es eben Anfällig. Ebenso versucht man die Firmware und Hardware zu sichern durch externe Einflüsse, weil du eben über diese Wege an die Settings kommst.catch 22 schrieb:
Lässt du die Tür aber auf, dann ist sie auf. Warum solltest du ein Windows booten und den Admin im Zweifel noch "knacken" wollen, wenn du auch ein Linux booten kannst bei dem du eh Root bist - von ner Live DVD oder Stick? Das ergibt keinen Sinn sich den Windows Account vorzunehmen. Die Sicherheitskette funktioniert nur, wenn man sie komplett durchdenkt. Partielle Sicherheit in einem Punkt die sich dann aushebeln lässt mit dem nächsten, bringt Niemanden irgendwas.
btw. gibt es aktuell (seit heute) nen deutlich besser beschriebenen Artikel zu dem Thema bei Heise.
https://www.heise.de/news/Linux-Ins...ows-11-Notebooks-etwas-erschwert-7178734.html
Allein der Aufmacher "Linux Installation etwas erschwärt" vs. "Security-Chip lässt Linux nicht auf das Lenovo Z13 und Z16"
Es wird dort auch ganz gut beschrieben um was es dabei geht. Linux aussperren ist nicht der Grund
Ebenso sind noch deutlich mehr als nur zwei Lenovo Books von dem Umstand betroffen. Offenbar betrifft es so ziemlich alle gängigen OEMs für Business IT mit wenigstens ein paar der Produkten.
Wieso Zahlen aus der Luft greifen um damit irgend einen Standpunkt zu erfinden!?Eddy021771 schrieb:
Gibt doch genug Zahlen was Umsätze im PC Umfeld angeht... Versteh ehrlich gesagt dieses Stammtisch Gesabbel nicht. Du erfindest einfach irgendwas um eine Behauptung zu legitimieren.
https://www.microsoft.com/en-us/Investor/earnings/FY-2022-Q3/
Da kannste Zahlen gucken... btw. gingen knappe 50% des letzten Quartalsumsatz aus dem Cloud Geschäft. So viel zum Thema "MS muss also nun ein Weg suchen mit weniger Nutzern steigende Umsätze zu generieren" Leute Leute Leute eh. Wie naiv seid ihr denn bitte immer. Der private Michel mit seiner "geschenkten" Windows Client Installation ist einer Microsoft doch seit langem schon effektiv völlig Bumms egal.
- Registriert
- Sep. 2018
- Beiträge
- 3.468
Sarkastisch formuliert: Die Tellerränder werden immer höher.fdsonne schrieb:
Wohl etwas zutreffender: Mir scheint heute die Bereitschaft, zumindest etwas nachhaltiges Interesse an Hintergrunddetails haben zu wollen, noch geringer als früherTM.
In Windows 7: ESU-Support für Unternehmen wird deutlich ausgeweitet läuft es komplementär. In der Essenz (stimmt natürlich in dieser Ausnahmslosigkeit nicht) gibt es als Grund, warum in Unternehmen (1 - 700.000 Mitarbeiter) heute noch Windows 7 Instanzen betrieben werden, eigentlich auch nur die "unfähige IT-Abteilung". Das kann ja auch gar nicht anders ein.
catch 22
Rear Admiral
- Registriert
- Mai 2019
- Beiträge
- 5.596
du vermengst hier eine willentliche Entscheidung, für die man proaktiv Einstellungen vorgenommen hat und zu der man entsprechend Kenntnisse hat, mit einer vorgegebenen, unbemerkten und potentiell unerwünschten Einstellungfdsonne schrieb:
Eddy021771
Ensign
- Registriert
- Juni 2012
- Beiträge
- 226
ich habe nie Behaubtet das es Tatsachen sind die man legitimieren muss , es war von Anfang an nur meine Meinungfdsonne schrieb:
und wieso den nicht Zahlen erfinden, natürlich kann man alles irgendwie fundiert und belegt sich besorgen, aber ganz erlich, ob es nun 3 milliarden ; 2,7 Millarden oder wer weiß wieviel Windowsnutzer es gibt am Ende ganz genau sind, ist mir persönlich völlig egal und mit die genauen Zahlen zu besorgen bei Windows in meinen Augen Zeitverschwendung, das es weniger sind als noch vor 10 oder 15 Jahren sollte unstrittig sein und das nicht jeder dieses "stammtisch gesabbel" versteht , das macht überhaubt nix :-)
Irgendjemand123
Ensign
- Registriert
- Mai 2017
- Beiträge
- 181
Der Microsoft-Müll hat in einer CPU die nicht exklusiv für nur ein Betriebssystem da ist meiner Meinung nach gar nichts zu suchen und ich will das da auch nicht drin haben.
