LINUX.ORG.RU
ФорумTalks

Ноутбуки с Microsoft Pluton - новый уровень огороженности

 , ,


1

2

https://www.ixbt.com/news/2022/07/09/windows-microsoft-pluton-apu-ryzen-6000....

Мобильные процессоры AMD Ryzen 6000 стали первыми на потребительском рынке с встроенным сопроцессором безопасности Microsoft Pluton.

Попытка загрузить Linux с накопителя USB в случае ноутбука Lenovo ThinkPad Z13 завершилась неудачей, и автор в итоге обнаружил, что всему виной как раз Microsoft Pluton. Если конкретнее, то устройство не доверяет загрузчикам или драйверам, подписанным с помощью стороннего ключа Microsoft UEFI CA. А это означает, что ничего, кроме Windows, установить на ноутбук не выйдет. Более того, загружаться с внешних носителей посредством Thunderbolt также не получится.

С UEFI и SecureBoot в свое время тоже видимо хотели, но как-то оно не особо прошло, пришлось и подписями делиться и довольно много обходных вариантов оказалось.

Ничего, сейчас видимо целый отдельный процессор будет следить за «безопасностью». Будут теперь обычные PC не хуже, а то и лучше смартфонов огорожены. У смартфонов только загрузчик залочен и если как-то разлочить, то обычно туда можно таки суметь что-то поставить свое или если найти способ рутовать, а здесь взят курс на полную изоляцию.

Похоже этот Pluton - это вообще постоянно работающий надзиратель, а не только в момент загрузки.

P.S. Из комментов на хоботе:

Помимо прочего, это означает, что майкрософт в любой момент может отозвать сертификат и окирпичить миллионы устройств в какой-то стране.

Или просто конкретное устройство.

★★★★★

Последнее исправление: praseodim (всего исправлений: 1)

Вполне логичное развитие Intel SGX, ориентированное на корпоративный сектор, если я не путаю, то в оригинале говорилось о возможности отключения Secure Boot и пускания в свободное плавание

sparks ★★★★
()
Ответ на: комментарий от sparks

Вполне логичное развитие Intel SGX, ориентированное на корпоративный сектор,

Это разница между «trusted pc» и «assurance pc». Для быдлобычных людей - только trusted. Несколько лет назад помню была новость про спецзаказ компов для конгресса США или чего-то такого. Обязательным требованием там было отсутствие Intel Me и подобных вещей и компы там назывались «assurance».

praseodim ★★★★★
() автор топика
Последнее исправление: praseodim (всего исправлений: 1)

Вот, это уже причина для беспокойства! А то столько нытья и слёз было по UEFI, а оно как работало - так и работает, как позволяло лялих ставить - так и позволяет.

anonymous-angler ★☆
()

The restriction to only Windows by default is rather silly but at least it sounds like it still can be disabled from within the UEFI BIOS to allowing alternative operating systems to boot.

но для вброса пойдёт

TheAnonymous ★★★★★
()

А когда они задушат GNU / Linux на десктопе, то поднимут требования своей ОС до небес(в 2-4 раза), чтобы не было больше Celeron'ов, а продавали только i3, как минимальные требования для Chrome и Скайпика. А мне не верили. Говорили, что я конспиролух... :(

xwicked ★★☆
()
Последнее исправление: xwicked (всего исправлений: 2)
Ответ на: комментарий от praseodim

Microsoft оч активно пушит свой Mobile Device Management, через Intune, Windows Hello for Business и еже с ним, киллер фича которую они уже продали народу это уход от типичных паролей/сертификатов и пр секретов, доверие устанавливается на основании PC Attestation, которое, кто бы мог подумать, не возможно адекватно реализовать, ибо tpm прекрасно эмулируется, попрыгали вокруг с SGX, который кстати местами прижился, у NIST есть интересные публикации, но так нифига и не реализовав пропихнули этот Pluton, но как показывает история с темже x-box one, который по изначальным заверениям, ну ваще никак не может работать без подключенных камер киннект и постоянного доступа к серверам ms через интеренет, но как оказалось может, а киннект вообще выкинули. У них денег есть, могут позволить себе ещё один эксперемент, который с большой вероятностью просто не взлетит

sparks ★★★★
()

Если конкретнее, то устройство не доверяет загрузчикам или драйверам, подписанным с помощью стороннего ключа Microsoft UEFI CA.

Заходишь в BIOS/UEFI, идёшь в Security -> Secure Boot и включаешь «Allow Microsoft 3rd. Party UEFI CA». Вот и всё, можно грузить Линукс.

https://download.lenovo.com/pccbbs/mobiles_pdf/Enable_Secure_Boot_for_Linux_Secured-core_PCs.pdf

gag ★★★★★
()

Печально что микрософтовские штуки внутрь проца забрались, да ещё и амд.

firkax ★★★★★
()

Проблема в том что платформа PC по сути проектируется только для Windows (также как Mac для Mac OS X), а Линукс и прочие на ней паразитируют. Microsoft вплне может перекрыть возможность установки сторонних ОС. Нужна по настоящему свободная платформа, например на основе RISC-V/SBI/UEFI/FDT.

X512 ★★★★★
()
Последнее исправление: X512 (всего исправлений: 1)
Ответ на: комментарий от gag

Сначало это, потом мы куда придём? А если ноутбук изначально идет без винды?

NonameKiriLL
()

Вам смешно, а у меня комп 10-летней давности с линуксовой флешки не грузится. С DOSовской - пожалуйста, с инсталлятором винды - запросто! А с записанным линуксом - фиг, не отображает её в списке устройств. Стоит записать туда инсталлятор винды… ну, вы поняли.

tiinn ★★★★★
()
Ответ на: комментарий от X512

Только при условии аппаратной эмуляции x86 с производительностью, не уступающей нативной. Иначе не взлетит. Слишком много проприетарного софта, который никто не будет пересобирать под новую архитектуру.

eternal_sorrow ★★★★★
()
Ответ на: комментарий от tiinn

Биос обнови, бгг :))

Нет, честно, может помочь, матплаты даже asus глючные клепает и допиливает обновлениями биоса.

Dimez ★★★★★
()
Последнее исправление: Dimez (всего исправлений: 1)
Ответ на: комментарий от eternal_sorrow

Только при условии аппаратной эмуляции x86 с производительностью, не уступающей нативной. Иначе не взлетит.

А для гиков с ненужно? Типа как Pine.

fornlr ★★★★★
()

я так понял с плутоном эта фигня вообще никак не связана, просто леново не прошило нужный сертификат. Или прошило, но не включило по умолчанию

Lrrr ★★★★★
()

Ну ок вышел ненужно ноут на ненужно процессоре. Вопрос в том как далеко такая интеграция зайдёт. Если и другие подключатся то будет конечно жопа говноуефай и днищесекуреботом покажется сказочкой.

LINUX-ORG-RU ★★★★★
()
Ответ на: комментарий от LINUX-ORG-RU

Между тем мелкософт ещё запретила монетизировать СПО проекты в своём магазине. Тихонько со всех сторон давят ироды

LINUX-ORG-RU ★★★★★
()
Ответ на: комментарий от praseodim

Обязательным требованием там было отсутствие Intel Me и подобных вещей и компы там назывались «assurance»

Не отсутствие Intel ME, т.к. он в самом камне, а всего лишь «выключение» путем работы с битом High Assurence

https://github.com/corna/me_cleaner/wiki/How-does-it-work%3F

linuxoidspb
()
Последнее исправление: linuxoidspb (всего исправлений: 1)
Ответ на: комментарий от untitl3d

Если новая архитектура будет такой же массовой как М1 - тогда перепишут, конечно. Да и то далеко не всё переписали. А если 1% от 1% - вряд ли.

eternal_sorrow ★★★★★
()
Ответ на: комментарий от ipkirill21x

что ключевой компонент системы

Смущает. Но ты про системДно наверное? Пффф какой он нафиг ключевой. Это проблемный компонент системы засунутый в линуксы сначала в наглую в основные дистрибутивы коммерческие, а потом с огромными спорами в другие. Через пару,тройку лет будет системд загибаться и тихонько выпиливаться. Оставляя за собой лишь тонны ненужного кода для обратной поддержки

LINUX-ORG-RU ★★★★★
()
Ответ на: комментарий от eternal_sorrow

Для бизнес сегмента, и подобного нужно ибо чем больше огорожено тем лучше. Для всего осотального ненужно. Решает одну проблему порождает сотни.

Может быть рассмотрен как механизм тивоизации, со всеми вытекающими

LINUX-ORG-RU ★★★★★
()
Последнее исправление: LINUX-ORG-RU (всего исправлений: 2)
Ответ на: комментарий от sparkie

Есть сова на глобусе, а есть пёс по кличке плуто буква «н» означает натянутый. Они пса плуто натянули на плутон. Сове то ещё повезло!

LINUX-ORG-RU ★★★★★
()
Последнее исправление: LINUX-ORG-RU (всего исправлений: 1)
Ответ на: комментарий от untitl3d

Зачем, если интел, затем амд, просто на x86 делает бутерброды типов ядер в процах как arm?

NonameKiriLL
()
Ответ на: комментарий от sparkie

Запихнуть при желании можно как ты например. Но если ты хочешь продавать свою программку и она СПО то всё. Фигу.

LINUX-ORG-RU ★★★★★
()
Ответ на: комментарий от LINUX-ORG-RU

Я просто не всё сказал. До запихивания программа была СПО, я видимо попал в чёрные списки админов Store. Вероятно там что-то типа ИИ, который пишет в базу всю движуху.

sparkie ★★★★★
()
Ответ на: комментарий от LINUX-ORG-RU

Проц сам по себе не огороженный. В нём есть возможность огораживания. Если эту возможность сделать неотключаемой, тогда ноутбук будет огороженный.

eternal_sorrow ★★★★★
()
Ответ на: комментарий от eternal_sorrow

Количество блобов растет, никто уже знает, что на самом деле там происходит. компьютер не принадлежит человеку, а корпорации.

NonameKiriLL
()
Ответ на: комментарий от eternal_sorrow

Если эту возможность сделать неотключаемой

Или возможно удалённо принудительно включаемой. Вот в том и вопрос. Ладно, посмотрим увидим.

LINUX-ORG-RU ★★★★★
()
Ответ на: комментарий от tiinn

а у меня комп 10-летней давности с линуксовой флешки не грузится.

Вы б дистр, версию и железо озвучили, а то вариантов больше одного.

anc ★★★★★
()
Ответ на: комментарий от anc

Ты о чём? О гипотетическом процессоре с аппаратной эмуляцией x86? Конечно не будет. Это будет risc-v с расширением для эмуляции.

eternal_sorrow ★★★★★
()
Ответ на: комментарий от anc

Дистр - дебиан 11 KDE live, железо Intel Pentium E-2160 1,8 ГГЦ/2 ядра память 4Гб ddr2, видео Nvidia GF 9600GT 512 Мб, винчестер WD 500Гб, DVD привод. мать Gigabyte GA-945p-S3. Установлена Windows 7 x64. Разметка MBR.

Трахаюсь пока с Grub4DOS, и пока, безуспешно.

tiinn ★★★★★
()
Ответ на: комментарий от LINUX-ORG-RU

По мне так тоже ненужнод. Дистрибутивы с sysvinit как посмотришь - красота, лепота... Прям тот самый linux.

ipkirill21x
()
Ответ на: комментарий от einhander

Это можно. Проблема только в том, что DVD там дохленький, в крайнем случае, придётся DVD перетыкать :( У меня в хозяйстве только один рабочий DVD, все остальные полумёртвые.

tiinn ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.