News Microsoft Pluton: Security-Chip lässt Linux nicht auf das Lenovo Z13 und Z16

[ETI1120]

Aber was du sagt, wäre es ein gewichtiger Punkt für eine solche Lösung, wenn es dabei hilft den normalen Nutzer vor sich selbst zu schützen (nachdem MS da viel Mist verzapft hat). Aber wie du, glaube ich auch nicht daran das es gelingt.

Aber das macht es doch nicht. Das schlimmste Sicherheitsproblem sind sorglose Benutzer. Und einige glauben den Unsinn von Sicherheitsprozessor und glauben sie sind sicher. Und es ist ja bekannt was passiert, wenn Leute glauben Ihnen kann nichts passieren.

Das ganze Zeugs macht nur Ärger wenn der Benutzer die wohlüberlegte Entscheidung trifft ein anderes Betriebssystem zu installieren. Dafür dass niemand an den Installationspaketen herumfummelt gibt es erprobte Massnahmen.

Als ich 2015 mir meine Linuxkiste zusammengebaut habe, musste ich mich auch noch darum kümmern, ob es etwas mit dem UEFI zu beachten gibt. Bei mir war der Leidensdruck hoch, also habe ich mich durchgewühlt.

 

[cloudman]

Nein, ist er nicht.

Pluton ist anders als vorher von Lenovo zugesichert aktiviert und von geblockten Microsoft 3rd Party UEFI Certificates Authority (CA) hat vorher auch niemand gesprochen.

Sein Titel lautet : Lenovo shipping new laptops that only boot Windows by default

Bei dir fehlt 'by default' - genauso der Hinweis, daß 3rd party CA mit einer Einstellung im UEFI erlaubt werden kann.

Wie du hier in den Kommentaren sehen kannst verstehen einige deinen Artikel so, daß damit Linux unmöglich ist.

Ich kann durchaus verstehen, daß man das Vorgehen von Lenovo/MS nicht toll findet. Trotzdem würde ich erwarten, daß keine relevanten Informationen unterschlagen werden.

 

[ETI1120]

Sehe sich auf die Gesamtheit bezogen genauso. Aber vielleicht werden ja "einige mehr" sicherer? 100%-ige Sicherheit wird es im breiten OS-Markt niemals geben, selbst wenn sie theoretisch möglich wäre.

Ich habe sicherer und nicht 100 % sicher geschrieben.

Kein durchschnittlicher Microsoft Retail-Kunde wäre bereit, den Preis in Form von Geld oder Unbequemlichkeit dafür zu zahlen.

Warum war Vista so unbeliebt?

Der Grund war doch der, dass Windows Vista nicht einfach jeden Dreck installiert hat, sondern zuvor das Einverständnis der Anwender verlangt hat. Das Problem war doch schon immer, dass Windows als Betriebssystem für die gewöhnlichen Windows-Anwender die falsche Wahl war und ist.

Und anstatt sich vernünfig um die klaffenden Sicherheitslücken in ihren eigenen Softwarestack zu kümmern, fingert Microsoft an der Hardware anderer Leute herum. Und zwingt mit seiner Marktmacht alle anderen dazu mitzuspielen. Und das alles unter dem Vorwand Sicherheit.

 

[douggy]

Sorry, ich finde die Aufregung um dieses Feature ist lächerlich.
Um Windows 11 zu installieren muss man auch in vielen Laptops, unter anderem auch in meinem, im BIOS rumwurtschteln. Teilweise auch bei neu gekauften. Wo waren denn da die Artikel "Hersteller XY verhindert Windows auf seinen Laptops"?
Ist exakt die gleiche Baustelle. Ein/zwei Schaler im BIOS verhindern die Installation. Bei Windows scheints keinen zu stören, aber jetzt bei Linux ist es Drama.

Weil Windows-User es kommentarlos hinnehmen, dass im UEFI rumgefummelt werden, ist die Meldung irrelevant?
"Ihr" hättet ja einen Hinweis an CB schicken können.

Meines Erachtens hat man im UEFI nichts zu suchen. Sei es Linux oder Windows.
Nur wenn man es selber möchte.

Besonders bei *buntus oder Mint gibt es blutige Anfänger. Denen muss man mit UEFI-Einstellungen nicht gleich einen Stock in die Speichen schmeißen.

Und da es ja nicht das eine UEFI gibt, macht es die Sache nicht leichter. Sei es Windows oder Linux.

 

[7r1c3]

Weil Windows-User es kommentarlos hinnehmen, dass im UEFI rumgefummelt werden, ist die Meldung irrelevant?

Hat niemand behauptet. Die Meldung/News ist schon richtig, auch wenn der Titel irreführend ist, wie man auch hervorragend an den Kommentaren sehen kann.
Wäre es so wie der Titel suggeriert hätte ich absolut was dagegen und würde hoffen, dass dies ein Einzelfall im PC/Laptop Sparte bleibt und wir uns nicht den anderen Sparten annähern, wo es lautlos akzeptiert wurde.

Also bei den letzten Linux Installationen musste ich auch in UEFI, um die 3rd party CA zu aktivieren, damit Linux gebootet werden konnte. Dies waren ganz normale Mainboards ohne Pluton Chip.
Aufgrund dessen sehe ich das so, der Weg, um Linux zu booten scheint gleich zu bleiben, zumindest bei Mainboards, wo dies der Fall ist.

Daher teile ich die Meinung nach derzeitigen Stand "die Aufregung um dieses Feature ist lächerlich".

 

[Spike S.]

Das schlimmste Sicherheitsproblem sind sorglose Benutzer.

Ja genau deswegen glaube ich nicht, dass dies über solch einen Chip gelingen kann. Solange der Nutzer noch ein bisschen was zu entscheiden hat, kann auch immer was schief gehen. Ohne jetzt das Szenario "völlige Kontrolle aus Redmond jedweder Rechner mit Windows" heraufbeschwören zu wollen ^^

Der Grund war doch der, dass Windows Vista nicht einfach jeden Dreck installiert hat, sondern zuvor das Einverständnis der Anwender verlangt hat.

Meinst du die Abfrage ob man die setup.exe ausführen will? Die klick ich immer durch. Für mich ist der Punkt der Sicherheit einen Schritt davor, Herausgeber und Bezugsquelle der .exe.

Daher teile ich die Meinung nach derzeitigen Stand "die Aufregung um dieses Feature ist lächerlich".

Auf dieses eine Feature aus der News betrachtet, bin ich auch der Meinung. Jedoch denke ich an den nächsten Schritt. Die UEFI der normalen Consumer Laptops lassen doch jetzt schon nur noch Pillepalleeinstellungen zu, Uhrzeit und Bootreihenfolge. Teilweise schon nicht mehr Einstellungen zu Secure Boot und Fastboot.

 

[7r1c3]

Die UEFI der normalen Consumer Laptops lassen doch jetzt schon nur noch Pillepalleeinstellungen zu

Dies war doch schon immer so oder nicht? Kann mich jetzt an kein Consumer Laptop erinnern, welches einen "vollen Umfang" beim BIOS/UEFI hatte.

 

[MountWalker]

[...]
Meinst du die Abfrage ob man die setup.exe ausführen will? Die klick ich immer durch. Für mich ist der Punkt der Sicherheit einen Schritt davor, Herausgeber und Bezugsquelle der .exe.
[...]

Darfst du und ist ja genau so gedacht, solange du weißt, was (nämlich dein bewusster Klick auf die ausf+ührbare Datei, die du kennst) die UAC-Abfrage auslöst. Die UAC-Abfrage ist dafür da, deswegen bei jedem "Aufruf" einer ausführbaren Datei, welche auf Systemordner zugreifen will, einzugrätschen, damit Drive-By-Attacken verhindert werden. Feature X in Web-Browser-Y erlaubt das Ausführen von Code auf dem lokalen Rechner -> Benutzerkontensteuerung verhindert, dass dieser Code das System zerschießen kann. Es geht um die Siotuatiopnen, in denen du als erfahrener Anwender da sitzt und denkst: "Ich habe doch gar keine Exe-Datei angeklickt, wieso kommt dann jetzt eine UAC-Abfrage?" Jeder Linux-/Unix-Anwender akzeptiert seit 30-40 Jahren, dass das ein notwendiger Aufwand ist, aber Windows-Anwneder sind bei VIsta ausgefreakt.

 

[tollertyp]

Das ist doch der Sinn von TCPA (später TPM genannt, weil TCPA heftig kritisiert wurde), nämlich dass die großen Softwarefirmen bestimmen, welche Produkte (kostenpflichtig natürlich) auf dem Gerät laufen dürfen. Freeware-Konkurrenzprogramme kann man aussperren, indem sie nicht signiert werden.

TPM hat mit TCPA recht wenig zu tun... Ach ja, Linux kann TPM ebenfalls nutzen. Aber dass das TPM-Bashing kommt war von vornerein klar.

Wie du hier in den Kommentaren sehen kannst verstehen einige deinen Artikel so, daß damit Linux unmöglich ist.

Sicher komplett unbeabsichtigt vom Autor... wenn man auch noch seine übrigen Beiträge hier liest.

WIe ich glaube schon schrieb: Dieser Artikel ist reine Meinungsmache. Mit Qualitätsjournalismus hat das leider nicht viel zu tun und bin ich von anderen Medien mit B und drei weiteren Buchstaben gewohnt.

 

[Spike S.]

Dies war doch schon immer so oder nicht? Kann mich jetzt an kein Consumer Laptop erinnern, welches einen "vollen Umfang" beim BIOS/UEFI hatte.

Ich bilde mir ein, man konnte früher mehr als die Uhrzeit einstellen. Ich hab noch eine Knifte aus C2D Zeiten hier, da schau ich mal bei Gelegenheit nach...

@tollertyp Man muss aber auch bedenken, dass in diesem Forum sehr viele Tekkies versammelt sind die gerne und schnell auf Reizwörter anspringen, jeder hat da seine eigenen...bei mir ist "Windows" ein sehr starkes

 

[xmimox]

Ich nutze zwar kein Linux, finde aber das das nur dazu dient monopole auszubauen, wenn es keinen Sicherheitsvorteil bringt. Geht in eine ähnliche Richtung wie OS die andere Bezugsquellen für Software als ihre eigene verbieten/verhindern.
Da darf gerne mal die EU mit 10% Umsatzbußen dazwischen hauen… naja vllt. In 10 Jahren.

 

[_roman_]

Man kann Linux installieren, auch ohne secure boot auszuschalten. Man muss nur die Option im BIOS die third party Zertifikate erlaubt aktivieren. Genau das ist hier mit "extra step" gemeint.

Mehr dazu: https://download.lenovo.com/pccbbs/mobiles_pdf/Enable_Secure_Boot_for_Linux_Secured-core_PCs.pdf

Und wie signiert man einen eigenen Kernel ohne offizielles bezahltes Zertifikat?
womöglich nur auf dieser einen Maschine ohne Hilfe eines anderen Rechners?

Das eine ist dumme Theorie, nur nach Blabbern ohne zu Denken. Das andere ist die echte Praxis.

 

[nazgul77]

Ich sehe keinen Benefit für Endbenutzer, nur einen Malefit. Laut heise bietet der Pluton Chip identische Funktionen wie TPM 2.0 Chips. Entscheidender Unterschied: Der Microsoft 3rd Party UEFI CA key, mit dem Microsoft den Linux UEFI shim loader signiert hat, wird nur von TPM-Chips ab Werk akzeptiert.

Was bezweckt Microsoft hier?

• Lizenz-Inkasso ? Oder verschenkt Microsoft den Chip?
• Marktmacht festigen?
• Andere Betriebssysteme ärgern, indem sie ab Werk zunächst ausgesperrt bleiben?

 

[Intruder]

Es war nicht die "original Hardware" von Intel und es war auch nicht der "original Rechner" von IBM, aber es war uneingeschränkt Kompatibel, entsprechend war alles möglich. Man konnte die Hardware beliebig ersetzten und alles was auf den "Originalen" auch bezüglich der Software funktionierte, funktionierte auch auf diesen Rechnern, uneingeschränkt.

sorry aber dies ist auch so nicht wirklich richtig. Es gab zum Beispiel CPUs ohne mathematischen Coprozessor die dazu führten, das viele Programme / Games gar nicht liefen. Hatte damals im Freundeskreis auch 2 Leute, die solche Hardware hatten und schlußendlich nicht mehr mit zu Lanpartys kamen und ihr Hobby aufgaben.

 

[tollertyp]

Ich sehe keinen Benefit für Endbenutzer, nur einen Malefit. Laut heise bietet der Pluton Chip identische Funktionen wie TPM 2.0 Chips.

Okay Frage...

Pluton-Funktionen soll vor allem die Firmware (das UEFI-BIOS) künftiger PCs und Notebooks besser gegen Manipulationen und Angriffe absichern.

Inwiefern kann TPM 2.0 das bieten?

 

[Marflowah]

Wie war das mit "Microsoft loves Linux"?

Am Arsch...!

 

[cloudman]

Und wie signiert man einen eigenen Kernel ohne offizielles bezahltes Zertifikat?

Wie hier beschrieben: https://wiki.debian.org/SecureBoot#Generating_a_new_key

 

[Miuwa]

Jeder Linux-/Unix-Anwender akzeptiert seit 30-40 Jahren, dass das ein notwendiger Aufwand ist, aber Windows-Anwneder sind bei VIsta ausgefreakt.

Ich glaube da dichtest du dir was zusammen, bzw. würde ich für die Behauptung gerne Daten sehen. In der Breite kann ich mich bei Vista über Beschwerden zur Performance, der Kompatibilität und ein paar Aspekte der UI erinnern (z.B. zu viele Klicks im Alltag). Beschwerden über die UAC waren nach meiner Erinnerung bestenfalls ne Fußnote. Ist jetzt natürlich auch nur Anecdotal Evidence, aber da du die These aufgestellt hast bist du da imo erstmal in der "Bringschuld".

Ergänzung (10. Juli 2022)

Was bezweckt Microsoft hier?

• Lizenz-Inkasso ? Oder verschenkt Microsoft den Chip?
• Marktmacht festigen?
• Andere Betriebssysteme ärgern, indem sie ab Werk zunächst ausgesperrt bleiben?

Die ist schon klar, dass es keinen Pluton Prozessor braucht, um den Start alternativer Betriebssysteme zu unterbinden? Dass MS lizenzeinnahmen bekommt bezweifle ich persönlich, aber ich hab mich da nicht eingelesen.

 

[MountWalker]

[...] (z.B. zu viele Klicks im Alltag). Beschwerden über die UAC waren nach meiner Erinnerung bestenfalls ne Fußnote. [...]

Ich kann dir zwar auf die schnelle keine Daten liefern, aber die Massenbeschwerden über UAC-Abfragen waren der Grund, warum mit Windows 7 die Sicherheitsstufe "mittelhoch" voreingestellt wurde, während es bei Vista noch "hoch" war. (bei zehn gibts den Schieberegler noch in den versteckten Tiefen der klassischen Systemsteuerung, wenn man direkt danach sucht - auch bei 10 ist "mittelhoch" voreingestellt) "Mittelhoch" unterlässt die UAC-Abfrage bei Klicks in der Systemsteuerung und ein paar OS-Tools. Ich stelle den Schieberegler immer per Hand auf "hoch", wie er bei Vista voreingestellt war, weil einige Lücken zur Erhöhung der Benutzerrechte in der Windows-Geschichte seitdem nur funktionierten, wenn die Sicherheitsstufe nicht auf "hoch" eingestellt war. Ich hab mal ein Bild vom Schieberegler angehängt, den kennt vermutlich nicht mehr jeder.

P.S.
Man findet die Einstellung, indem man in der Systemsteuerung nach "UAC" sucht. Da kommt dann als einziger Treffer "Einstellungen der Benutzerkontensteuerung ändern"

 

[ETI1120]

Okay Frage...

Inwiefern kann TPM 2.0 das bieten?

Und wie macht Pluton das?