News Microsoft Pluton: Security-Chip lässt Linux nicht auf das Lenovo Z13 und Z16
- Ersteller SVΞN
- Erstellt am
- Zur News: Microsoft Pluton: Security-Chip lässt Linux nicht auf das Lenovo Z13 und Z16
umask007
Lt. Junior Grade
- Registriert
- Dez. 2012
- Beiträge
- 380
Trotzdem wird die Benutzung von Linux dadurch erschwert. Das Problem ist auch nur einfach zu beheben, wenn man weiß, dass es existiert. Ein Linux interessierter Anfänger mit Pluton Computer wird wohl entnervt aufgeben und Linux die Schuld geben, dass es nicht läuft...Apacon schrieb:
mojitomay
Lt. Commander
- Registriert
- Aug. 2021
- Beiträge
- 1.471
Wenn ich so was lese wird stellen sich mir die Nackenhaare auf.
Und das Bild mit dem "Chip2cloud" verursacht bei mit Herpes.
Microsoft ist echt ein Drecksverein.
Wenn mein aktuelles Lenovo Notebook den Geist aufgibt, gibt es danach ein Linux-Gerät von Tuxedo, System76 oder Slimbook oder einem anderen Hersteller, der offene Systeme anbietet.
Auch wenn ich dann ein paar Euros mehr zahlen muss als für ein Schenker Barebone.
Die Freiheit ist es mir wert.
Und das Bild mit dem "Chip2cloud" verursacht bei mit Herpes.
Microsoft ist echt ein Drecksverein.
Wenn mein aktuelles Lenovo Notebook den Geist aufgibt, gibt es danach ein Linux-Gerät von Tuxedo, System76 oder Slimbook oder einem anderen Hersteller, der offene Systeme anbietet.
Auch wenn ich dann ein paar Euros mehr zahlen muss als für ein Schenker Barebone.
Die Freiheit ist es mir wert.
- Registriert
- Aug. 2013
- Beiträge
- 3.518
Die Überschrift ist schon leicht clickbait.
Liest man den Artikel fest wird man feststellen: Linux lässt sich wiegehabt installieren. Man muss halt nur ne Option im UEFI umstellen, fertig.
Das sollte für jeden der ein ernsthaftes Interesse an Linux hat und nicht aus dem Netz dazu missioniert wurde kein Problem sein - sonst wird derjenige eh früher oder später vor für ihn unlösbaren Problemen stehen.
Liest man den Artikel fest wird man feststellen: Linux lässt sich wiegehabt installieren. Man muss halt nur ne Option im UEFI umstellen, fertig.
Das sollte für jeden der ein ernsthaftes Interesse an Linux hat und nicht aus dem Netz dazu missioniert wurde kein Problem sein - sonst wird derjenige eh früher oder später vor für ihn unlösbaren Problemen stehen.
Alles klar. Linux User sind ja dafür bekannt sich sowieso in nichts umständliches reinfrikeln zu müssen. Da ist so ein Schalter bestimmt eine gigantische Hürde.umask007 schrieb:
Sorry, ich finde die Aufregung um dieses Feature ist lächerlich.
Um Windows 11 zu installieren muss man auch in vielen Laptops, unter anderem auch in meinem, im BIOS rumwurtschteln. Teilweise auch bei neu gekauften. Wo waren denn da die Artikel "Hersteller XY verhindert Windows auf seinen Laptops"?
Ist exakt die gleiche Baustelle. Ein/zwei Schaler im BIOS verhindern die Installation. Bei Windows scheints keinen zu stören, aber jetzt bei Linux ist es Drama.
Ja, das ist echt ein Problem das diese Anfänger da einfach so in eine Mauer rennen. Da müsste man mal was erfinden, so eine Maschine wo man Stichworte eingibt wie "Linux kann nicht installieren" und die dann passende Einträge aus Newsgroups, Blogs und Fachartikeln auflistet. Wäre wirklich Zeit das man sowas mal erfindet.umask007 schrieb:
Da brauchst du dir keine Sorgen machen.ETI1120 schrieb:
Microsoft Pluton wird zukünftig in diversen Geräten mit AMD, Intel und Qualcomm zu finden sein, keine Angst.
Account only, Online only und Pluton on top. Ich freue mich drauf. 😄
flaphoschi
Lt. Commander
- Registriert
- Jan. 2018
- Beiträge
- 1.770
SecureBoot bestellt? Lock-Down eines Allzweck-Computers geliefert!
Und wir alle wussten vor zehn Jahren, dass SecureBoot nur deutlich mehr Code erfordert und viele Probleme schaffen wird. Red Hat, Canonical und die Gemeinde um die FSF hätten damals und müssen heute gegen solche Maßnahmen politisch vorgehen. Nicht mit mehr Code! Die FSF hat mit der GPL von Beginn an politisch agiert und es ist richtig so. Warum immer wieder mit Code Probleme umgehen, wenn man die Ursache beseitigen sollte?
Lenovo bietet abseits davon bei X86_64 mit AMD und Intel hervorragend Linuxunterstützung und Zertifizierung. Wir sollen uns also auch Microsoft (SecureBoot) und Qualcomm (keine quelloffenen Kernelmodule) widmen!
Erste Maßnahmen sind bei neuer Hardware:
Dann ist eine Manipulation oder Fremdzugriff unterbunden.
Ich habe keine Lust mehr darauf, dass fwupd beim UEFI-Update hinfällt weil irgendwas zwischen Shim, UEFI, SecureBoot, Linux, Grub oder Gummiboot hinfällt. Es ist zu viel Komplexität da unten! Den - fwupd ist echt toll!
Firmware (BIOS oder UEFI) -> Bootloader oder unmittelbar Kernel -> Betriebssystem
So wenig Code wie möglich, sollte das Ziel sein.
Und wir alle wussten vor zehn Jahren, dass SecureBoot nur deutlich mehr Code erfordert und viele Probleme schaffen wird. Red Hat, Canonical und die Gemeinde um die FSF hätten damals und müssen heute gegen solche Maßnahmen politisch vorgehen. Nicht mit mehr Code! Die FSF hat mit der GPL von Beginn an politisch agiert und es ist richtig so. Warum immer wieder mit Code Probleme umgehen, wenn man die Ursache beseitigen sollte?
Lenovo bietet abseits davon bei X86_64 mit AMD und Intel hervorragend Linuxunterstützung und Zertifizierung. Wir sollen uns also auch Microsoft (SecureBoot) und Qualcomm (keine quelloffenen Kernelmodule) widmen!
Erste Maßnahmen sind bei neuer Hardware:
- SecureBoot aus
- Passwort in UEFI setzen
- Und Hardwareverschlüsselung einschalten
Dann ist eine Manipulation oder Fremdzugriff unterbunden.
Ich habe keine Lust mehr darauf, dass fwupd beim UEFI-Update hinfällt weil irgendwas zwischen Shim, UEFI, SecureBoot, Linux, Grub oder Gummiboot hinfällt. Es ist zu viel Komplexität da unten! Den - fwupd ist echt toll!
Firmware (BIOS oder UEFI) -> Bootloader oder unmittelbar Kernel -> Betriebssystem
So wenig Code wie möglich, sollte das Ziel sein.
umask007
Lt. Junior Grade
- Registriert
- Dez. 2012
- Beiträge
- 380
Die Warscheinlichkeit, bei einem Randphänpomen wie Pluton fündig zu werden, ist ziemlich gering. ZuerstNore Ply schrieb:
muss man ja auch wissen, was man bei der "Maschine, wo man Stichworte eingibt" eingeben muss, um die richtige Information zu finden. "Linux kann nicht installieren" ist definitiv das falsche Stichwort, ein besseres
Stichwort wäre "Linux kann nicht booten". Ganz so einfach ist es dann doch nicht wie dein eigener Beitrag beweist...
ComputerJunge
Captain Pro
- Registriert
- Sep. 2018
- Beiträge
- 3.523
In der Tat. Und das irritiert, besser: stört mich - gerade von SW3N, weil es nicht zu meinem bisherigen "Bild" von ihm passt.iGameKudan schrieb:
AppLeYArD
Lt. Commander
- Registriert
- Aug. 2005
- Beiträge
- 1.047
Beim Überfliegen der nächsten Seiten habe ich nicht gesehen, dass es jemand richtiggestellt hat. Den S-Modus kann man problemlos mit Microsoftmitteln deaktivieren. Der Modus richtet sich halt eher an DAUs. Wenn man diesen Modus nicht deaktivieren kann, ist man in diesem Modus wohl auch ganz gut aufgehobenLEDs schrieb:
Nein, ist er nicht.cloudman schrieb:
Pluton ist anders als vorher von Lenovo zugesichert aktiviert und von geblockten Microsoft 3rd Party UEFI Certificates Authority (CA) hat vorher auch niemand gesprochen.
Im aktivierten Zustand blockiert Pluton so alles außer Windows. Ich verlasse mich in dieser Hinsicht auf Matthew Garrett, der ist da ganz gut drin im Thema.
Sowas gehört ganz einfach nicht auf ein Customer-Gerät.
Forum-Fraggle
Commodore
- Registriert
- Okt. 2006
- Beiträge
- 4.281
Das hatte ich überlesen, sorry. Würde mich aber nicht wundern. Wenn das nur eine Frage der Zeit ist,SirKhan schrieb:
Du wirst lachen, auf meiner Linuxkiste musste ich kaum umständlich herumfrickeln. Weniger als auf den Windowskisten.Apacon schrieb:
Und wenn ich dann noch das Geschwätz höre wie schwierig und Benutzer unfreundlich Rollingrelase Distributionen sind ...
Ich habe gestern nach einem Windows-Update wieder 3 Mal rebooten müssen, bis meine Kiste wieder lief.
Das ist ja eigentlich kein Problem, aber in den letzen 2 Jahren ist Windows 10 nach einen Systemupdate 2 Mal dauerhaft hängen geblieben. Einmal nach dem Login. Das konnte die IT reparieren. Das zweite Mal vor dem User-LogIn, bum. Zum Glück war die Kiste ohnehin EOL und die neue Kiste war schon da.
Apacon schrieb:
- Es ist verschwendete Die Fläche, wenn auch wenig.
- Wer garantiert, dass dieser Bios-Schalter zugänglich ist. Und auch in Zukunft zugänglich bleibt. Lenovo hatte gesagt, Pluton ist im default aus. deshalb finde ich das ganze sehr befremdlich und es interessiert mich was Micheal Larabel herausfindet.
- Wer garantiert, dass das Ausschalten durch den Besitzer auch funktioniert.
- Es ist ein weitere Faktor den man beim Hardwarekauf berücksichtigen muss. Ohne dass daraus ein Nutzen ersichtlich ist.
Viel römische Kaiser wurden ermordet. Die meisten von ihrer Leibgarde. Also von denen die eigentlich sie schützen sollten.
Apacon schrieb:
Hallo hallo alle anderen mitleeser bitte ignoriert doch diese news das ist doch alles garnicht so schlimm, ist doch nur ein ausloten was geht in zukunft machen wir "ms" das auch nicht weiter
Also alle weiter gehen hier gibt es rein garnichts zu sehen
@Apacon du nimmst also alles ohne zu hinterfragen hin da du ja also Kunde König bist und Unternehmen nur dein bestes wollen ja?
RaiseHell
Lt. Commander
- Registriert
- Mai 2007
- Beiträge
- 1.460
Was mich am meisten irritiert und beunruhigt ist die Tatsache, dass es sogar in einem Fachforum wie diesem hier Leute gibt, die so ein "Feature" auch noch verteidigen und verharmlosen.
Das ist ganz klar der erste Schritt in eine Zukunft, in der von den großen IT-Konzernen vorgegeben wird, was auf der Hardware laufen darf, und was nicht. Nur, weil es im Moment noch einen Opt-Out-Switch gibt heißt das nicht, dass das auch in Zukunft noch der Fall sein wird.
Ganz im Gegenteil:
So ein "Feature" macht doch nur Sinn, wenn man es irgendwann auch forciert. Denn im derzeitigen Zustand ist ja noch nicht wirklich etwas gewonnen aus Microsoft-Sicht. Der Durchschnitts-User, der gerade mal so weiß, wie er den Web-Browser verwendet, kommt ja sowieso nicht auf die Idee, einfach mal so ein Linux zu installieren, und die versierten Benutzer ändern dann einfach die Einstellung im BIOS. Also wozu das dann alles? Ganz einfach, weil das erstmal die Vorbereitungsphase für den goldenen Käfig ist. So ein Feature führt man natürlich so "sanft" wie möglich ein. So wie es ja auch schon jahrelang mit den Zwängen zu Benutzerkonten geschieht. Erst mal alles nur optional, und irgendwann eben doch erzwungen.
Das ist ganz klar der erste Schritt in eine Zukunft, in der von den großen IT-Konzernen vorgegeben wird, was auf der Hardware laufen darf, und was nicht. Nur, weil es im Moment noch einen Opt-Out-Switch gibt heißt das nicht, dass das auch in Zukunft noch der Fall sein wird.
Ganz im Gegenteil:
So ein "Feature" macht doch nur Sinn, wenn man es irgendwann auch forciert. Denn im derzeitigen Zustand ist ja noch nicht wirklich etwas gewonnen aus Microsoft-Sicht. Der Durchschnitts-User, der gerade mal so weiß, wie er den Web-Browser verwendet, kommt ja sowieso nicht auf die Idee, einfach mal so ein Linux zu installieren, und die versierten Benutzer ändern dann einfach die Einstellung im BIOS. Also wozu das dann alles? Ganz einfach, weil das erstmal die Vorbereitungsphase für den goldenen Käfig ist. So ein Feature führt man natürlich so "sanft" wie möglich ein. So wie es ja auch schon jahrelang mit den Zwängen zu Benutzerkonten geschieht. Erst mal alles nur optional, und irgendwann eben doch erzwungen.
lowrider20
Lt. Commander
- Registriert
- Apr. 2011
- Beiträge
- 1.969
Ohne Bootcamp gehts aber nicht. Also ist man da ja auch irgendwie vom Apple Support abhängig. Oder meinst du es anders?Helge01 schrieb:
Schön herausgesucht.cloudman schrieb:
Solange es einen direkten Schalter gibt und man den Key nicht selbst provision muss finde ich dass nicht allzu schlimm.
Solange man wie bei normalen Secureboot einen Hinweis vom BIOS bekommt, dass was man versucht hat zu booten nicht korrekt signiert war. Dann wäre auch hinfällig, dass hier behauptet wird, dass potentielle Linux Nutzer das nicht finden.
Ist doch bis jetzt auch so. Wenn die gewählte Distro nicht mit dem 3rd Party Key signiert ist, kriegt man einen Hinweis, dass Secure Boot es verhindert und den Hauptschalter um Secureboot gänzlich zu deaktivieren gibt es immer noch, genauso wie vorher. Wer hier unter den Linux Nutzern geht denn nicht eh hin und schaltet pauschal Secureboot aus Prinzip ab? Ihr würdet das dann ja gar nicht merken.
Und das ganze scheint mir mit Pluton nur zu tun zu haben, dass es sich aus den Anforderungen für zertifzierte Pluton Nutzung ergibt den Key ab Werk nicht zu erlauben. Das was den Boot verhindert ist aber weiterhin nur ein Secureboot Feature.
Und ich finde es auch schlüssig, einen Key, der bei einem Notebook erstmal nicht gebraucht wird nicht zu erlauben. Es reduziert die Angriffsobefläche rein statistisch.
Gerade die 3rd Party Key signierten Distros (Fedora zum Beispiel) untergraben für mein Verständnis die Existenzgründe von Secureboot, wenn man mit mokutil völlig beliebige Kernel-Module so signieren kann, dass sie auch vom signierten Linux Kernel geladen werden.
Diese Entrüstungswelle sollte man sich aufheben, bis sie tatsächlich anfangen gegen andere Betriebsyteme vorzugehen. Oder mindestens begleiten mit Vorschlägen, womit man Secureboot ersetzt, denn es erfüllt einen sinnvollen Zweck. Auch wenn vielen Leuten Anti-Evil-Maid egal ist.
Der von Garret zitierte Punkt, dass TPM Authenticated Boot Secure Boot ersetzen kann, macht für mein Verständnis auch nur Sinn wenn man annimmt, dass es 0 unbekannte Sicherheitslücken gibt und man jegliche Software laufen lassen kann, weil es nicht den Hauch einer Chance gibt dass diese irgendwas am System verändern kann, dass einen Authenticated Boot umgeht.
