News Microsoft Pluton: Security-Chip lässt Linux nicht auf das Lenovo Z13 und Z16

[Spike S.]

Warum ist das absehbar? Und warum gleich "zeitnah"? Ich halte dagegen: Weder das eine noch das andere wird eintreten.

Sicher, das ist von mir sehr spekulativ gesehen. Aber wenn man die letzten 20 Jahre der Entwicklungen bei Computern miterlebt hat, kann man es nicht wirklich ausschließen, ich erwarte es aber tatsächlich. Ich kann mich noch dunkel erinnern, als die ersten Male über diese Zusatzchips "zur Sicherheit" berichtet wurde, dass dies zu geschlossenen Systemen führt ist vielen schnell klar geworden. Das wurde damals auch direkt verteufelt und jetzt kommt es doch in die Breite Masse mit genau diesem Ergebnis.
Mein Problem ist halt einfach, das macht den PC (Personal Computer, worunter auch Laptops fallen) zu einem geschlossenen System und da ziehe ich nicht mit. Mal mehr RAM nachrüsten dürfte ja auch zu einer ungültigen Windows Installation führen, nehme ich mal an das das bei Pluton so läuft.

obwohl ich mir durchaus einen sicherheitstechnischen Vorteil vorstellen könnte nicht einfach jedes beliebige OS vom Stick booten zu können)

Das verhindern fremder Installationen ist bei PCs zu Hause eigentlich eher nicht so wichtig, denn dann hätte man ja einen Einbrecher in der Wohnung, was noch ganz andere, größere Probleme bedeutet.
Und das lässt sich auch heute schon ohne Pluton verhindern. Rechner im gewerblichen Umfeld sind entsprechend konfiguriert (mein Arbeitslaptop kann nicht von USB booten und BIOS ist gesperrt).

 

[tollertyp]

Mal mehr RAM nachrüsten dürfte ja auch zu einer ungültigen Windows Installation führen, nehme ich mal an das das bei Pluton so läuft.

Das gute ist, dass man gar keine Beweise zur Argumentation braucht, sondern Annahmen reichen.

So wie die ganzen Annahmen zu heutigen TPM-Chips, die häufig wenig mit der Realität zu tun haben.

 

[Banned]

99,9% der Nutzer, die Linux installieren, werden es auch hinbekommen, das im BIOS zu deaktivieren. Das ist nicht der Punkt.

Dass man so etwas aber überhaupt integriert, deutet doch darauf hin, dass man in Zukunft noch anderes damit (oder mit anderen Varianten) vorhat bzw. man es nicht mehr so einfach deaktivieren kann. Der ganze Aufwand für Entwicklung und die Herstellung würde sich doch nicht lohnen für dieses geringe Hindernis. Da kommt bestimmt noch mehr.

 

[GokuSS4]

dann lieber ein T430/T530 + 1vyrain bzw. Skulls?

 

[tollertyp]

Dass man so etwas aber überhaupt integriert, deutet doch darauf hin, dass man in Zukunft noch anderes damit (oder mit anderen Varianten) vorhat bzw. man es nicht mehr so einfach deaktivieren kann.

Genau, wie bei Secure Boot.

 

[PiraniaXL]

Bitte etwas konkreter. Meinst Du man sollte die Voreinstellung die keine 3rd-Party Signaturen akzeptiert boykottieren oder sollte man Deiner Meinung nach die Möglichkeit diese Voreinstellung im Bios zu ändern boykottieren?

Ich meine die Geräte mit so einem Chip nicht kaufen.

 

[riloka]

Schlüssel in Sicheren Elementen zu speichern per se is was man bei FIDO Anmeldung auch haben möchte.
Die Frage hier is ob sich ausser Purism bei Geräten je jemand für Measured Boot interessiert hat.

 

[ComputerJunge]

Sicher, das ist von mir sehr spekulativ gesehen. Aber wenn man die letzten 20 Jahre der Entwicklungen bei Computern miterlebt hat, kann man es nicht wirklich ausschließen, ich erwarte es aber tatsächlich. Ich kann mich noch dunkel erinnern, als die ersten Male über diese Zusatzchips "zur Sicherheit" berichtet wurde, dass dies zu geschlossenen Systemen führt ist vielen schnell klar geworden. Das wurde damals auch direkt verteufelt und jetzt kommt es doch in die Breite Masse mit genau diesem Ergebnis.

Dieses "Ergebnis" ist weiterhin pure Spekulation. Es ist bisher nicht eingetreten, auch mit TPM nicht. Und dass ich für Windows 11 TPM "on" brauche verhindert grundsätzlich keine Installation von Linux.

Natürlich weiß auch ich nicht, was in zwei, 5 oder 10 Jahren sein wird.

Aber ich finde die Frage, warum irgendein großer CPU-Produzent ein ernsthaftes Interesse daran haben könnte, seine Umsatzaussichten unnötig mit einer weiteren "riesigen" Abhängigkeit zu verknüpfen, naheliegend. AMD beispielsweise hat schon genug "Leid" mit der Abhängigkeit von TSMC. Und spätestens seit Nokia würde ich als Hardware-Hersteller jegliche Finger von einer exklusiven strategischen Bindung an Microsoft lassen. Warum also sollten Intel, AMD oder die Board-Hersteller auf diesen Zug aufspringen?

Optional werden die das in der Breite sicherlich bringen, denn viele Großkunden wünschen sich das. Aber einen generellen hardware-coded Microsoft-Zwang halte ich für Fiction. Apple hingegen würde feiern.

 

[lowrider20]

Das OS ist kostenlos

Auch mangelnder Treibersupport anderer Hardware wird ein Problem sein bzw. wird dem ein Riegel vorgeschoben um schlechte Kritik zu vermeiden.

 

[abulafia]

This means that given the default firmware configuration, nothing other than Windows will boot. It also means that you won’t be able to boot from any third-party external peripherals that are plugged in via Thunderbolt.


There’s no security benefit to this. If you want security here you’re paying attention to the values measured into the TPM, and thanks to Microsoft’s own specification for measurements made into PCR 7, switching from booting Windows to booting something signed with the 3rd party signing key will change the measurements and invalidate any sealed secrets.


It’s trivial to detect this. Distrusting the 3rd party CA by default doesn’t improve security, it just makes it harder for users to boot alternative operating systems.

Okay, wo ist die Übersetzung. Mein Englisch ist ja ganz gut, aber ich verstehe es inhaltlich nicht richtig. Wäre cool wann das mal jemand im Detail erleutern und interpretieren würde.

Ich sehe hier den größten Knackpunkt. Ich finde es ja total okay ein System so abzuriegeln, das nur noch Windows bootet. Hier wird bemängelt, dass genau das keinen Vorteil bringt. Kann ich aber nicht nachvollziehen. Das Argument kommt mir arg konstruiert vor.

 

[Spike S.]

Das gute ist, dass man gar keine Beweise zur Argumentation braucht, sondern Annahmen reichen.

Dieses "Ergebnis" ist weiterhin pure Spekulation. Es ist bisher nicht eingetreten, auch mit TPM nicht. Und dass ich für Windows 11 TPM "on" brauche verhindert grundsätzlich keine Installation von Linux.

Wie ich schrieb, war das von mir rein spekulativ. Habe mich nicht im Detail damit beschäftigt. Da ich aber keinen Bedarf für ein geschlossenes System habe, ist das Thema für mich mit dem hier vorgestellten Feature allein schon vom Tisch.
Als es damals anfing mit dem Account Zwang bei der Windowsinstallation, sagte mir beteits mein Bauchgefühl, Microsoft will gerne geschlossene Systeme etablieren, also in die Ecke wie Apple. Was natürlich nur mit vielen kleinen Schritten geht, aufgrund der Historie. Und bis jetzt hab ich nix mitbekommen, was mein Bauchgefühl Lügen straft.
Und nochmal: das ist nur meine persönliche Spekulation, auf Basis wie ich die bisherigen Entwicklungen von und um MS erlebt habe.

Natürlich weiß auch ich nicht, was in zwei, 5 oder 10 Jahren sein wird.

Das weiß keiner. Auch wenn MS wohl einen Masterplan haben wird, ob der aufgeht oder nicht sehen alle erst hinterher. Der Plan mit den Windowsphones war sicherlich auch ein anderer^^

 

[Kuristina]

Ich finde es ja total okay ein System so abzuriegeln, das nur noch Windows bootet. Hier wird bemängelt, dass genau das keinen Vorteil bringt. Kann ich aber nicht nachvollziehen.

Wo genau ist denn der Vorteil, einen Laptop nur auf Windows zu beschränken?

 

[ComputerJunge]

Auch wenn MS wohl einen Masterplan haben wird

Für Desktop/Windows bezweifele ich das.

Auch wenn ich mir das Heute nicht vorstellen kann, will ich nicht ausschließen, dass ich eines Tages auch für den Desktop ein einzelnes geschlossenes System akzeptieren könnte - dann würde ich Stand Heute allerdings Cupertino wählen.
Ein einziges kommt für mich nicht in Frage.

 

[GeleeBlau]

Könnte mir vorstellen, dass das für den normalen Windowsnutzer keine Auswirkungen hat, sondern eher für OEM Hersteller gedacht ist. Noch mehr Kontrolle über alles mögliche für Dell und Co.

 

[ETI1120]

Wie ich schrieb, war das von mir rein spekulativ. Habe mich nicht im Detail damit beschäftigt.

Wieso lässt Du Dich in die Defensive bringen?

Wie viele Attacken wurden durchgeführt in dem jemand ein nicht zertifiziertes Betriebssystem installiert hat?
Wie viele Attacken werden durcgeführt weil sie Fehler in den Betriebssystemen oder Anwendungdsoftware ausnutzen. Wie viele Attacken wurden ausgeführt weil Microsoft die Dateien im Office zu Programmen gemacht hat? Hier wäre es doch Mal sinnvoll, wenn Microsoft etwas brauchbares auf die Beine stellt. jetzt habe ich die Wahl auf Makro zu verzichten oder dem Absender zu vertrauen. Und Null Support von den Volldeppen, die sich das alles ausgedacht haben. Und dann redet man von professionell und bussinessgrade, ...

Es ist doch reine Spekulation, dass diese "Sicherheitsprozessoren" die Systeme sicherer machen.

Das was sie tun ist das installieren anderer Betriebssysteme zu erschweren. So dass man behaupten kann, Linux ist nur etwas für Experten. Dabei ist des doch gerade anders herum.

Wenn ich nur an die 2000er zurückblicke. Mit den Anfängen der EMail-Viren. Der Laden bei dem ich arbeite blieb weitgehend verschont. Ich kenne nur zwei Vorkommnisse aus dieser Zeit. Es war beides Mal mein damaliger Abteilungsleiter, der obwohl es verboten war, seine Emails mit Outlook gelesen hatte.

 

[Spike S.]

Für Desktop/Windows bezweifele ich das.

Ja, MS wirkt oft planlos
Aber zumindest einen Teil ihres Geschäfts mit geschlossenen Systemen bestreiten zu wollen, halte ich für recht wahrscheinlich.

Wieso lässt Du Dich in die Defensive bringen?

Weil ich kein Prophet bin und nicht tief im Thema stecke.
Aber was du sagt, wäre es ein gewichtiger Punkt für eine solche Lösung, wenn es dabei hilft den normalen Nutzer vor sich selbst zu schützen (nachdem MS da viel Mist verzapft hat). Aber wie du, glaube ich auch nicht daran das es gelingt.

 

[Vindoriel]

Das ist doch der Sinn von TCPA (später TPM genannt, weil TCPA heftig kritisiert wurde), nämlich dass die großen Softwarefirmen bestimmen, welche Produkte (kostenpflichtig natürlich) auf dem Gerät laufen dürfen. Freeware-Konkurrenzprogramme kann man aussperren, indem sie nicht signiert werden.

 

[luckyfreddy]

"Niemand hat die Absicht eine Mauer zu bauen".

 

[MountWalker]

Wo genau ist denn der Vorteil, [...]

Rootkits, die eine Neuinstallation des Betriebssystems überleben, sollen so verhindert werden. Es geht hier immer um Schadsoftware, die neben dem Betriebssystem installiert wird. Dass die Sache auch aus der FLOSS-Welt nur mit abstrakten Behauptungen in die Medienwelt hineinkommuniziert wird, muss dazu führen, dass im "Lagerkrieg" dann auch keine zielführende Debatte geführt wird. Klar, man kann Microsoft vorwerfen, die Vorteile nicht in der Pressemitteilung breitzutreten, genauso kann man Matthew Garet oder Phoronix vorwerfen, die Details nicht zu beleuchten. Wenn ich offenlegen will, warum etwas "nichts" bringt, wären techniche Erklärungen hilfreich. Ich will es auch nicht haben, aber mir reicht dafür der Kollateralschaden, der mir als Linux-Anwender im Weg steht.

@Vindoriel

TPM (Trusted Platform Module) ist das Produkt, TCPA (Trusted Computing Patform Alliance) ist das Konsortium, das sich in TCG (Trusted Computing Group) umbenannte und das alles ist 20 Jahre alt.

 

[ComputerJunge]

Wieso lässt Du Dich in die Defensive bringen?

Welche Defensive? Wie jede Vorhersage ist und bleibt es spekulativ.

Es ist doch reine Spekulation, dass diese "Sicherheitsprozessoren" die Systeme sicherer machen.

Sehe sich auf die Gesamtheit bezogen genauso. Aber vielleicht werden ja "einige mehr" sicherer? 100%-ige Sicherheit wird es im breiten OS-Markt niemals geben, selbst wenn sie theoretisch möglich wäre. Kein durchschnittlicher Microsoft Retail-Kunde wäre bereit, den Preis in Form von Geld oder Unbequemlichkeit dafür zu zahlen.

Freeware-Konkurrenzprogramme kann man aussperren, indem sie nicht signiert werden.

Darum geht es hier doch gar nicht.
Und davon abgesehen ist das natürlich auch ohne diesen Chip (oder TPM oder irgendeine andere Hardwarefunktion) möglich. Wenn gewollt, hätte Microsoft das schon vor 20 Jahren machen können. War aber nicht gewollt, denn es schadete der Marktdurchdringung.