News Microsoft Pluton: Security-Chip lässt Linux nicht auf das Lenovo Z13 und Z16

[lowrider20]

Da wird nichts unterbunden.

Die Installation läuft ganz normal durch

Apple lässt ohne Probleme Linux

Danke! Wußte nicht, daß dies so einfach war. Las nur von der Erleichterung mancher Mac-User, damals dank Bootcamp auch Windows installieren zu können.
Und dazu kam noch die Erinnerung, daß MacOS nicht problemlos auf einem x86 laufen wollte.

 

[ETI1120]

Jup. Damit lieferst du aber AUCH Argumente, dass die Regeln härter werden müssen um effektiv zu sein und die richtig scheint Microsoft ja mit dem verbieten des sehr unvalidierten 3rd Party Keys zu gehen.

Das Problem ist dass sich hier der Bock zum Gärtner macht.

Und unter dem Vorwand der Sicherheit, werden Mitwettbewerber behindert. Vollständig blockieren haben sie sich noch nicht getraut.

Das eigentliche Sicherheitsproblem bei Windows ist abgesehen von den Anwendern, hauptsächlich Microsoft mit ihrer vor Fehler strotzenden Software. Ich habe mit dem Atari ST angefangen. Musste dann zum PC wechseln, habe aber auch auf Macs gearbeitet und habe daheim eine Linuxkiste. Bei Microsoft habe ich die Reise seit Windows 95 begleitet. Ich sehe mich als erfahrenen Anwender. Auf Linux bin ich 2015 umgestiegen. Hier habe ich mich nur so weit mit den Innereien beschäftigt als etwas nicht so lief wie von mir gewünscht. Deshalb kenne ich mich auch nicht arg mit den Innereien aus.

Software enthält Fehler und, viele dieser Fehler führen zu Lücken in der Sicherheit. darum geht es. Wer in Systeme eindringen will, muss sich gar nicht die Mühe machen, Sicherheitslücken einzubauen. Sie sind schon da.

Die Illusion der Closed Software ist, dass die Firmen es in den Griff bekommen.
Die Illusion der Open Software ist, dass jeder Fehler gefunden wird, nur weil die Source verfügbar ist. Die Sourcen müssen von Leuten gelesen werden, und die müssen den Code nachvollziehen können. *)

Und ein Schlüssel der von Microsoft verteilt wird, ändert rein gar nichts an der Sicherheit. Es ist ein Placebo. Oder eher Placebo Forte. Sicherheit und Transparenz gehören unbedingt zusammen. Ebenso wie Sicherheit und Vertrauen.

*) Es ist ein riesiger Schwachpunkt in der Ausbildung zu Programmieren bzw zu Informatik, dass viel zu wenig Code gelesen wird.
Beim Schreiben von Texten ist immer der erste Schritt das Lesen. Man lernt gut schreiben nicht dadurch dass man viel schreibt, sondern dadurch das man viel liest. Dadurch dass man die eigene Texte reflektiert an dem wie andere Schreiben. Und vom Feedback von Leuten die die Texte gelesen haben.

Es wäre ein riesiger Fortschritt für alle, wenn es in der Ausbildung verpflichtend wäre, mehrere Reviews zu Open Source Projekten beizusteuern.

Und zum Abschluss die Bemerkung: Generell geht es bei Programmiersprachen und ihrer Syntax viel zu sehr darum Code schnell und einfach schreiben zu können als den Code einfach lesen und verstehen zu können. Kompaktheit muss durch das Einführen von Abstraktionsebenen erzielt werden, nicht durch das Einführen von kompakten Syntaxvarianten, die ein paar Zeichen sparen.

 

[Ray519]

Qas genau hat sich jetzt eigentlich mit dem Pluto-Chip geändert?

Eine weitere Komponente über die man keine Kontrolle haben kann und dafür viel zu wenig weiß über was drin steckt.
Ansonsten liefert es die Vorraussetzung für Remote Attestation was zu deutlich krasserem / effektiverem DRM genutzt werden kann (in der Art von Pluton verifiziert, dass dein Windows nicht manipuliert wurde um zB Dinge wie Online Zwang zu umgehen und nur danach liefert dir Microsoft ein Update aus oder wird Store-Software mit DRM freigeschaltet).

 

[Nore Ply]

Die Warscheinlichkeit, bei einem Randphänpomen wie Pluton fündig zu werden, ist ziemlich gering.

Ebenso wie die Wahrscheinlichkeit das ein Käufer nicht gewarnt wird. Erstens durch den Hersteller des Laptop der so Supportanfragen oder noch ärgerlicheres vermeidet, zweitens durch drölfzigtausend "Fach"Magazine die darauf angewiesen sind möglichst großspurige Headlines zu verwenden um Klicks zu generieren, drittens durch drölfhochzwanzig Youtuber die selbst zum Zubinden ihrer Schuhe noch eine Anleitung brauchen und voller Enthusiasmus das Riesenproblem eines Bios-Switches in halbstündigen Beiträgen (15:2 Werbung - Inhalt) thematisieren werden.

 

[Gigalodon]

Wo ist hier der Aufschrei? Wo sind die Artikel in allen Fachmagazinen?

"HP sagt Windows den Kampf an" - "HP lässt Windows nicht mehr aufs Notebook"

Niemand? Really? Wow, einfach nur wow!

Du realisierst aber schon den Unterschied zwischen einem Feature, was Windows einfach so vorraussetzt und einem Feature was Microsoft eingebaut hat, um andere auszusperren?

 

[ETI1120]

Als ich vor 3 Wochen ein HP Notebook von Cyberport mit FreeDOS gekauft habe, war das UEFI so eingestellt, dass Windows 11 sich nicht drauf installieren lies. Man muss händisch TPM im UEFI aktvieren. Erst dann lässt sich Win11 drauf installieren.

Wo ist hier der Aufschrei? Wo sind die Artikel in allen Fachmagazinen?

"HP sagt Windows den Kampf an" - "HP lässt Windows nicht mehr aufs Notebook"

Niemand? Really? Wow, einfach nur wow!

Und Du bist wirklich sicher, dass HP dies nicht tun muss, damit sie keine Lizenzen an Microsoft zahlen müssen?

 

[Nore Ply]

Pluton ist anders als vorher von Lenovo zugesichert aktiviert und von geblockten Microsoft 3rd Party UEFI Certificates Authority (CA) hat vorher auch niemand gesprochen.

Und nun zur Gretchenfrage: Kann ich auf dem besagten Laptop - als normaler Besitzer mit regulärem Zugang zum Bios - ein Linux from Scratch installieren? Spätestens falls die Antwort ja lautet ist die Absatzüberschrift

Erstmals Windows only bei Lenovo​

in meinen Augen sehr wohl grob irreführend. Man könnte auch sagen Klickbait-verdächtig. Man könnte (als Firma Lenovo) auch auf den Gedanken kommen das als rufschädigend zu werten.

 

[Helge01]

Und dazu kam noch die Erinnerung, daß MacOS nicht problemlos auf einem x86 laufen wollte.

Das ist auch korrekt und so gewollt. Das OS ist kostenlos und wird über die Hardware subventioniert.

 

[Kuristina]

Kann ich auf dem besagten Laptop - als normaler Besitzer mit regulärem Zugang zum Bios

Der normale Besitzer kommt bei "Bios" schon ins trudeln. Warum bin ich gezwungen, erst eine Einstellung im Bios vorzunehmen, um etwas anderes auf meinem Eigentum installieren zu können? Wenn es schon immer so gewesen wäre ok, aber das ist eine Änderung die vorher eben nicht so war. Das darf man ruhig kritisieren.

 

[m4c1990]

@Nore Ply wo ist das Rufschädigend?
Wenn man default nicht einfach so sein Linux installieren kann, weil da irgendein Schrott verbaut ist, der das grundlos verhindert, dann entspricht die Aussage doch der Wahrheit, oder?
CB wird sich bei der Wortwahl schon mit Anwälten abgesprochen haben

Primär Lenovo geht mir auch schon länger mit der schwachsinnigen WLAN-Adapter Whitelist massiv auf den Sack.

Hoffentlich macht die EU da was..
Vielleicht gibt es aber erst einen Aufschrei, wenn sich die Ämter versehentlich so ein Teil anschaffen und merken, dass sich Linux nicht installieren lässt^^

 

[ETI1120]

Das ist auch korrekt und so gewollt. Das OS ist kostenlos und wird über die Hardware subventioniert.

Es wurde nicht über die Hardware subventioniert, es wurde mit der Hardware verkauft. Damit ist es an diese Hardware gebunden, es sei den der Verkäufer will es anders.

Ergänzung (9. Juli 2022)

Vielleicht gibt es aber erst einen Aufschrei, wenn sich die Ämter versehentlich so ein Teil anschaffen und merken, dass sich Linux nicht installieren lässt^^

Ne, das ist dann die Schuld von Linux.

 

[bluedxca93]

Es fehlt der Support für msdos3.3 .
Mit win11 Zwang sind diese Geräte leider direkt Elektroschrott. Schade aber ohne Linux sind die Geräte für die Tonne. Win11 hat ja die Malware Defender drauf.

 

[lukas12342]

Somit wäre ein MacBook freier als ein Gerät mit Windows + Pluton.

Das Stimmt halt einfach nicht es sei denn du beziehst dich nur auf Macs vor 2018. D.h. kein Intel T2 oder Apple Silicon Macs.

Bei Apple Silicon Macs muss man auch bereits die Security Einstellungen ändern (Permissive Security).
Das ist im Grunde vergleichbar mit den abschalten von SecureBoot bei UEFI Systemen (wobei bei Permissive Security keine großen Nachteile für MacOS entstehen: DRM; Apple-Pay; IOS-Apps funktioniert auch im DualBoot).
Das es beim Apple Silicon Macs keinen großen Aufschrei gab liegt einfach darin, dass die Leute mit deutlich schlimmeren gerechnete haben (Locked Bootloader a la iPhone/iPad).

Und schaut man sich die letzten Intel T2 Macs an, stellt man fest das die im Auslieferungszustand auch nur signierte Apple Software booten.
Erst wenn man innerhalb von MacOS Boot Camp einrichtet wird auch der „Microsoft Windows Production CA 2011“ vertraut. Es es gibt jedoch ausdrücklich kein Unterstützung für die „Microsoft 3rd Party UEFI Certificates Authority“.
Linux läuft auf diesen T2 Systemen nur wenn man SecureBoot vollständig deaktiviert.
https://support.apple.com/de-de/guide/security/sec5d0fab7c6/1/web/1


D.h. die Standard Einstellung diese Lenovo Systems aus dem Jahr 2022 ist nicht restriktiver als die eines Intel T2 Macs aus dem Jahr 2018.
Der Lenovo ist sogar weniger restriktiv da er es immer noch erlaubt SecureBoot mit Linux zu nutzen, man muss halt im UEFI der „Microsoft 3rd Party UEFI Certificates Authority“ vertrauen.

 

[T3Kila]

Kann man denn den Pluton Chip nach erfolgreicher Linux Installation wieder aktivieren, ohne das installierte System zu beeinträchtigen?
Ich glaube mich zu erinnern, dass am Anfang von Secure Boot ähnliche Hürden mit Linux bestanden haben. Ist ja aber schon eine Weile her und ich würde meine Hand dafür nicht ins Feuer legen

 

[fullnewb]

Hast du dich damals bei der Einführung von den T1 und T2 Chips bei Apple auch so darüber beschwert? Security Features welche nur für Mac OS gelten?

Nein, da ich keine Apfelgeräte kaufe. Ist vermutlich an mir vorbeigegangen. Grundsätzlich finde ich diese Entwicklung aber durchaus bedenkenswert, egal ob Apple, Microsoft oder sonst wer dahintersteht.

Account only, Online only und Pluton on top. Ich freue mich drauf. 😄

Bitte Ironie-Tags einfügen 😋

 

[Fegr8]

Wie kann man SecureBoot verteidigen. Microsoft Zertifizierung ist doch ein Witz wenn mann bedenkt das gerade Microsoft versucht irgendwie immer noch die DBX anzupassen, weil die Blacklist voll ist, also signierte Treiber die zurückgezogen sind seitens Microsoft wegen "Boothole".

 

[ComputerJunge]

Ich schicke zur Sicherheit folgenden Disclaimer vorweg:
Ich würde ein x86 Hardware-Assembly - im Kern Board, UEFI + CPU - für einen general-purpose Rechenknecht niemals kaufen, wenn es, durch welche Maßnahmen auch immer, von Anbeginn an mit einem bestimmten x86-OS verdongelt wäre. Und wenn dies nachträglich im Rahmen der gesetzlichen Gewährleistung geschehen sollte, ginge das Gerät zurück. Und wenn es erst danach geschehen würde, wäre die Anbieter für mich für sehr lange Zeit "verbrannt".

Der Technologie selbst stehe ich auch eher zurückhaltend gegenüber. Im Kontext Sicherheit kann sie "vereinfachte Sicherheit in der Breite" bedeuten - oder eben Marktmissbrauch/-manipulation, auf welcher Ebene und welcher Form auch immer. Bedauerlicherweise wird in der Tat der Vorabaufwand bei einer Produktauswahl ggf. größer.

Wobei ich letzteres (aktuell) durch Microsoft für den Retail-Markt nicht erwarte, der ökonomische Nutzen wäre überschaubar, der Shitstorm jedoch ziemlich groß oder sogar riesig. Zudem würde es sich meiner Erwartung nach auch negativ auf die Wachstumsraten/Umsätze im Cloud-Geschäft auswirken, da entweder die eine oder andere gerade ausstehende Entscheidung oder bereits geplante Migrationsprojekte verschoben werden.

Denn es ist absehbar, dass dieser Schalter zeitnah verschwindet und man dann keine Wahl mehr hat.

Warum ist das absehbar? Und warum gleich "zeitnah"? Ich halte dagegen: Weder das eine noch das andere wird eintreten.

Ich habe mir gerade eben die deutsche Produktseite des ThinkPad Z13 (13" AMD) angesehen, dort steht bei Betriebssystem "Bis zu Windows 11 Pro". Das bedeutet zwar auch noch nichts sehr Konkretes, bei einem absehbaren Pluton-basierten Ausschluss von Linux stünde da aber gewiss ein anderer Text ("nur Windows 11 Pro" oder ein "*" mit Verweis auf das Ganzkleingedruckte).

Das schließt allerdings selbstredend weder aus, dass es in Zukunft nicht Hardware-Serien gibt, die genau das - höchstwahrscheinlich für große Unternehmenskunden mit definiertem Software-Ökosystem - machen. Und fehlerhafte UEFI-Versionen mit verschwindenden Schaltern sollen auch schon einmal vorgekommen sein (gelle, GigaByte/AMD ;-)).

Nun hoffe ich, dass mich die naheliegende Zukunft nicht eines Anderen belehrt. ;-)

 

[Korben2206]

Also wenn ich das richtig verstanden habe, reicht es eine Einstellung im BIOS zu ändern und Linux lässt sich installieren? Hmmm... also das ist vielleicht unnötig (obwohl ich mir durchaus einen sicherheitstechnischen Vorteil vorstellen könnte nicht einfach jedes beliebige OS vom Stick booten zu können), aber ich verstehe den Aufstand ehrlich gesagt nicht...

 

[Termy]

Wer einen Rechner mit Pluton kauft hat den Schuss doch eh nicht mehr gehört. Das ist mindestens genauso unsicher wie das ME/PSP-Geseuche...

 

[Joachim Strobel]

Das erste Gebot, es darf keine Betriebssysteme neben Windows geben. Amen