Software para LinuxFree Software FoundationLinux

Libreboot 26.01 “Magnanimous Max” lançado: Veja as novidades e correções

Suporte ao Dell E7240, criptografia LUKS2 com Argon2 e limpeza de código: a liberdade de hardware ficou mais robusta.

Escrito por
Emanuel Negromonte
PorEmanuel Negromonte
Emanuel Negromonte é Jornalista, Mestre em Tecnologia da Informação e atualmente cursa a segunda graduação em Engenharia de Software. Com 14 anos de experiência escrevendo sobre...
Follow:
9KJry5wG libreboot 26 01 novidades suporte hardware luks2
Destaques
  • Criptografia "State-of-the-Art" no Boot: O Libreboot 26.01 traz o GRUB 2.14 com suporte nativo a LUKS2 e Argon2, permitindo Full Disk Encryption (FDE) robusta contra ataques de força bruta, sem degradar a segurança.
  • Adeus, Clipes (no Dell E7240): O Latitude E7240 entra na lista de compatibilidade com um diferencial raro: permite instalação via software (dell-flash-unlock), dispensando a desmontagem do laptop na maioria dos casos.
  • Modernização com o ThinkPad T580: A liberdade de hardware chega à 8ª geração Intel (Quad-core). O guia inclui o passo a passo para vencer o Boot Guard via flashing externo.
  • Segurança de Hardware (Voltmod): Um alerta crucial para quem vai usar programadores CH341A (Black Edition) no T580: ensinamos a corrigir a voltagem de dados de 5V para 3.3V para evitar queimar a placa-mãe.
  • Auditoria de Código: Além de novos hardwares, a versão "Magnanimous Max" removeu declarações eval perigosas do sistema de build (lbmk), garantindo um processo de compilação mais seguro e auditável.

O Libreboot é uma distribuição de firmware focada em liberdade, projetada para substituir o BIOS/UEFI proprietário que vem de fábrica no seu computador. Assim como o Debian empacota o kernel Linux com ferramentas úteis, o Libreboot empacota o projeto “coreboot” com uma instalação automatizada e payloads (como GRUB ou SeaBIOS) para inicializar seu sistema operacional. A importância desta versão reside na democratização do acesso a hardware auditável: ela permite que notebooks antigos e acessíveis (como ThinkPads e Latitudes) rodem sem “caixas pretas” de código proprietário, aumentando a privacidade e a segurança do usuário.

Principais novidades do Libreboot 26.01

Esta versão, codinome “Magnanimous Max”, foca em estabilidade e expansão de hardware.

  • Novo suporte de Hardware: A lista de compatibilidade cresceu. Os destaques são o Dell Latitude E7240 (um ultrabook robusto da geração Haswell), o ThinkPad T580 (trazendo suporte a hardware mais moderno) e o desktop HP Pro 3500. Também foi adicionado suporte à placa Topton XE2 N150 (para mini PCs/firewalls).
  • Criptografia Moderna no Boot: O payload GNU GRUB foi atualizado para a versão 2.14. A grande vitória aqui é o suporte nativo a Argon2 para volumes LUKS2. Isso significa que você pode usar criptografia de disco moderna e robusta sem precisar degradar a segurança para que o bootloader consiga desbloquear o disco.
  • Limpeza do Sistema de Build: Embora invisível para o usuário final, o sistema de construção (lbmk) sofreu uma auditoria massiva de segurança, removendo declarações eval (que poderiam permitir injeção de código) e integrando ferramentas como sbase e bsdtar para garantir compilações mais reprodutíveis e confiáveis.

Impacto e repercussão

A comunidade de privacidade e self-hosting deve receber muito bem o suporte ao Dell E7240. Por ser um hardware da geração Haswell (Intel 4ª geração), ele ainda oferece desempenho decente para tarefas diárias e é facilmente encontrável no mercado de usados por preços baixos, tornando-se uma excelente porta de entrada para quem quer “fugir” do Intel Management Engine (ME) restritivo.

Outro ponto de discussão técnica é a decisão de segurar o suporte aos Chromebooks. O anúncio menciona que a integração do trabalho do MrChromebox foi adiada para a versão 26.06. Isso demonstra uma maturidade do projeto em priorizar a estabilidade da release atual em vez de inflar a lista de recursos com código não testado, algo crucial para um software que, se falhar, pode “brickar” (inutilizar) a máquina.

Para usuários que já estavam testando o RC4 (Release Candidate 4), a boa notícia é que não há mudanças de código. A versão final é idêntica ao RC4, validando a estabilidade alcançada na semana anterior.

Resumo técnico

  • Coreboot: Sincronizado com o upstream de meados de Janeiro de 2026.
  • GRUB: Atualizado para 2.14 (Suporte a Argon2, novas cifras criptográficas, correções de bugs).
  • Correções Específicas:
    • ThinkPad T480/s: Correção na detecção do jack de fone de ouvido (não exige mais troca manual via software).
    • Dell Latitude: Correção crítica de desligamento térmico (o sistema desligava prematuramente a 87°C; agora utiliza throttling correto da CPU).
    • HP Pro 3500: Desbloqueio de regiões da flash e desativação do Intel ME via bit HAP por padrão.
  • Flashprog: Atualizado para revisão ffcf92fb.
  • Segurança: Redução drástica do uso de eval em scripts shell do sistema de build (lbmk) para mitigar riscos de injeção de código.

Disponibilidade

A versão 26.01 já está disponível para download nos espelhos oficiais.

  • Instalação: Requer flashing interno (se já estiver rodando firmware livre) ou externo (com programador hardware) dependendo do dispositivo.
  • Aviso: O suporte a Chromebooks e placas Intel Alderlake mais novas foi adiado para a versão 26.06 (prevista para Abril de 2026).

Guia técnico: Instalando Libreboot 26.01 no Dell Latitude E7240

AVISO DE RISCO (BRICK): Alterar o firmware é uma operação delicada. Se o processo for interrompido ou feito incorretamente, seu computador pode não ligar mais (“brickar”), exigindo um programador externo físico para recuperação. Certifique-se de ter a bateria carregada e o carregador conectado. Prossiga por sua conta e risco.

1. Por que o E7240 é especial nesta versão?

A maioria dos laptops pós-2013 possui proteções de hardware (Intel Boot Guard ou regiões de BIOS bloqueadas) que exigem que você desmonte o aparelho e conecte um clipe físico no chip da BIOS para instalar o Libreboot pela primeira vez.

O Dell Latitude E7240 (Geração Haswell) é uma exceção. Graças a um utilitário chamado dell-flash-unlock, é possível desbloquear a gravação da BIOS via software, permitindo a instalação de dentro do próprio Linux.

2. Pré-requisitos

  • Um Dell Latitude E7240 rodando Linux (Debian, Ubuntu, Fedora, etc.) com privilégios de root.
  • O utilitário dell-flash-unlock (parte do código fonte do EC da Dell, ou disponível em repositórios focados em firmware).
  • A imagem da ROM do Libreboot 26.01 (baixada dos espelhos oficiais).

3. Passo a passo (Método interno)

Passo A: Preparação do ambiente

Primeiro, verifique se você tem as ferramentas necessárias instaladas (especialmente o flashprog, que substituiu o flashrom no projeto Libreboot):

Bash
sudo apt update
sudo apt install build-essential libpci-dev libusb-1.0-0-dev flashrom
# Nota: O Libreboot agora usa 'flashprog', mas o 'flashrom' dos repositórios
# costuma funcionar para este hardware específico se o flashprog não estiver disponível.

Passo B: Baixar e validar a ROM

Baixe a imagem específica para o E7240 da versão 26.01.

Bash
wget https://rsync.libreboot.org/stable/26.01/roms/libreboot-26.01_dell_e7240_12mb.tar.xz
# (O nome do arquivo pode variar, verifique a pasta exata no servidor)
tar -xvf libreboot-26.01_dell_e7240_12mb.tar.xz
cd bin/dell_e7240_12mb/

Dica: Escolha a ROM com o payload que você prefere (ex: grub_dell_e7240_12mb_libgfxinit_corebootfb.rom).

Passo C: Desbloquear a BIOS (O “Pulo do gato”)

Aqui entra a mágica mencionada no changelog. O E7240 tem proteções de escrita que precisam ser desativadas.

  1. Clone e compile o desbloqueador (caso não tenha o binário):Bashgit clone https://gitlab.com/nic3-14159/dell-flash-unlock.git cd dell-flash-unlock make
  2. Execute o desbloqueio:Bashsudo ./dell-flash-unlock Se funcionar, ele dirá algo como “BIOS protection disabled”.

Passo D: Fazer backup da BIOS original (CRUCIAL)

Nunca pule esta etapa. Se algo der errado, você precisará desse arquivo para restaurar com um programador físico.

Bash
sudo flashrom -p internal -r backup_original.bin
sudo flashrom -p internal -r backup_original_check.bin
diff backup_original.bin backup_original_check.bin
# Se o diff não retornar nada, o backup está perfeito.

Passo E: Gravar o Libreboot

Agora, vamos substituir o firmware proprietário pelo Libreboot.

Bash
sudo flashrom -p internal -w libreboot-26.01_e7240.rom
  • O que esperar: O terminal mostrará “Reading old flash chip contents…”, “Erasing and writing flash chip…”.
  • Importante: NÃO DESLIGUE O COMPUTADOR até ver a mensagem “VERIFIED.”

4. E para o ThinkPad T580? (Método externo)

Aqui está o guia técnico detalhado para o ThinkPad T580.

Diferente do Dell E7240, o T580 exige intervenção física direta (hardware hacking) porque o Intel Boot Guard e as travas de escrita da BIOS original impedem que você simplesmente rode um comando no terminal para instalar o Libreboot. Você precisa “forçar” a gravação diretamente no chip.

Guia de flashing externo: ThinkPad T580 (Libreboot 26.01)

PERIGO DE HARDWARE: Este procedimento exige abrir o laptop e conectar voltagem externa a componentes sensíveis.

  • Risco de Curto: Se conectar o clipe invertido, você queimará o chip ou a placa-mãe.
  • Risco de Físico: O clipe é frágil e pode quebrar as “pernas” do chip se forçado.
  • Requisito: Mão firme e paciência. Mas não faça se não sabe o que está fazendo.
  • Atenção: Todo e qualquer dano que você venha a ter com este ou outros tutorais são de sua inteira responsabilidade!

1. Hardware necessário

Você não consegue fazer isso só com software. Você precisa de:

  1. Programador SPI: O mais comum e barato é o CH341A (versão preta ou verde), mas um Raspberry Pi (configurado para SPI) é mais estável e recomendado para chips de 3.3V.
    • Nota Crítica: O CH341A preto fornece 5V nas linhas de dados por padrão, o que pode danificar chips de 3.3V. Recomenda-se o “Voltmod” no CH341A ou usar um adaptador de nível lógico (1.8v adapter geralmente não é necessário para o T580, que costuma ser 3.3V, mas verifique o modelo exato do chip).
  2. Clipe SOIC-8 (Jacaré): O famoso “Pomona 5250” é o padrão ouro. Clipes genéricos chineses funcionam, mas escorregam muito.
  3. Outro computador: Uma máquina Linux para controlar o programador.

2. Desmontagem e localização

  1. Energia zero: Desligue o T580, desconecte a fonte e desabilite a bateria interna na BIOS antes de abrir, ou desconecte o cabo da bateria interna assim que abrir a tampa inferior.
  2. Acesso à placa: Remova a tampa inferior (base cover).
  3. Ache o chip: Procure pelo chip de BIOS (Flash SPI). Geralmente é um chip de 8 pernas (SOIC-8) ou WSON-8 (plano, sem pernas – se for este, o clipe não funciona e precisará de solda/sonda).
    • No T580: Geralmente está próximo ao slot de RAM ou do chipset. Procure marcas como Winbond (W25Q…) ou Macronix (MX25L…). O tamanho costuma ser 16MB ou 32MB (128Mbit ou 256Mbit).

3. Conexão do programador

  1. Pinagem: Identifique o Pino 1 do chip na placa-mãe (marcado com uma bolinha ou uma seta na placa).
  2. Cabo: O fio vermelho do cabo flat do clipe deve ir no Pino 1.
  3. Programador: Conecte o clipe no programador respeitando a posição do Pino 1 (geralmente há um diagrama no próprio CH341A).

4. Leitura e backup (No computador auxiliar)

Conecte o programador na USB do computador auxiliar.

  1. Identificar o chip:Bashsudo flashprog -p ch341a_spi Se ele disser “No EEPROM/flash device found”, o clipe está mal conectado. Ajuste e tente de novo. Se ele identificar vários chips parecidos, ele pedirá para especificar (ex: -c W25Q128.V).
  2. Ler a BIOS original (Faça 2 vezes!):Bashsudo flashprog -p ch341a_spi -r dump1.bin sudo flashprog -p ch341a_spi -r dump2.bin
  3. Comparar os dumps:Bashdiff dump1.bin dump2.bin
    • Se não retornar nada: A leitura foi perfeita e estável.
    • Se retornar “Binary files differ”: A conexão está instável. NÃO PROSSIGA. Limpe os contatos do chip com álcool isopropílico e reajuste o clipe até conseguir duas leituras idênticas.

5. Preparação da ROM do Libreboot (O “Neutering” do ME)

Diferente do método interno, aqui você está gravando tudo do zero. Você precisa pegar partes da sua BIOS original (como a região do descritor IFD e a região do Gigabit Ethernet) e injetar na imagem do Libreboot, senão a rede não funciona.

O script de build do Libreboot (lbmk) automatiza isso se você fornecer o dump.

  1. Baixe a ROM do Libreboot T580.
  2. Use o script inject do Libreboot (se baixou o source) ou ferramentas manuais (ifdtool) para transplantar o gbe.bin e o descriptor.bin do seu dump1.bin para a ROM do Libreboot.
    • Nota: O Libreboot 26.01 geralmente já fornece ROMs “hacked” onde você só precisa injetar o endereço MAC, mas para máxima segurança, usar o lbmk para gerar uma imagem a partir do seu dump original é o ideal.

6. Gravação

Com a nova ROM pronta (digamos, libreboot_t580_pronto.rom):

Bash
sudo flashprog -p ch341a_spi -w libreboot_t580_pronto.rom

Após a gravação, ele fará uma verificação automática (“Verifying flash… VERIFIED”).

7. Pós-instalação

  1. Desconecte o clipe.
  2. Reconecte a bateria interna.
  3. Feche a tampa (sem parafusar tudo ainda).
  4. Ligue o laptop.
    • O primeiro boot demora: O treinamento de memória (Memory Training) pode levar de 30 a 60 segundos com a tela preta. Não entre em pânico.
    • Se aparecer o logo do Libreboot (ou o menu do GRUB): Sucesso!

Resumo das diferenças para o E7240:

CaracterísticaDell E7240ThinkPad T580
AcessoSoftware (Terminal)Hardware (Abrir laptop)
Ferramentadell-flash-unlockProgramador USB + Clipe
RiscoBaixo (se tiver bateria)Médio/Alto (Dano físico/elétrico)
DificuldadeInicianteAvançado

Guia de criptografia moderna: LUKS2 + Argon2 no Libreboot

O Objetivo: Criptografar todo o disco (incluindo a partição de boot), de modo que, ao ligar o computador, o Libreboot (GRUB) peça a senha imediatamente, descriptografe o disco e carregue o Kernel.

1. O Comando de Formatação (A Mudança Chave)

Ao particionar seu disco durante a instalação do Linux, no momento de criar o container criptografado, você não precisa mais usar flags de compatibilidade legada.

Use o comando explícito para forçar o padrão moderno:

Bash
# Substitua /dev/sdXY pela sua partição alvo (ex: /dev/sda1 ou /dev/nvme0n1p1)
sudo cryptsetup luksFormat --type luks2 --pbkdf argon2id /dev/sdXY
  • --type luks2: O novo padrão de cabeçalho, mais robusto contra corrupção.
  • --pbkdf argon2id: O algoritmo de hash “memory-hard”. Ele exige memória RAM para calcular a chave, tornando inviável que hackers usem clusters de placas de vídeo para tentar adivinhar sua senha.

2. O Ajuste de Performance (O “Pulo do Gato”)

Atenção: O Argon2 é projetado para ser “pesado”. O GRUB roda no início do boot, sem aceleração total do hardware e sem multithreading otimizado.

Se você deixar o padrão do cryptsetup, o tempo de desbloqueio no boot pode levar de 10 a 30 segundos após digitar a senha. Se isso incomodar, você pode reduzir a dificuldade (diminuindo um pouco a segurança contra ataques de estado-nação, mas mantendo-a alta contra ladrões comuns):

Bash
# Reduz o tempo de iteração para 2000ms (2 segundos) baseados no benchmark da CPU atual
sudo cryptsetup luksFormat --type luks2 --pbkdf argon2id --iter-time 2000 /dev/sdXY

3. Configurando o GRUB da Distro

Mesmo que o Libreboot tenha o GRUB no chip, ele geralmente busca o arquivo grub.cfg dentro do seu disco para saber quais Kernels carregar. Você precisa dizer ao gerador de configuração da sua distribuição que o disco está criptografado.

  1. Edite o arquivo padrão do GRUB:Bashsudo nano /etc/default/grub
  2. Adicione/Descomente esta linha (Crucial para FDE):BashGRUB_ENABLE_CRYPTODISK=y Isso instrui o grub-mkconfig a incluir os módulos de descriptografia (luks2, argon2, gcry_) na imagem de boot.*
  3. Na linha de comando do kernel (GRUB_CMDLINE_LINUX), certifique-se de que o UUID da partição criptografada está correto (geralmente cryptdevice=UUID=...:nome_do_volume para Arch ou configuração automática no Debian).
  4. Atualize o GRUB:
    • Debian/Ubuntu: sudo update-grub
    • Arch/Outros: sudo grub-mkconfig -o /boot/grub/grub.cfg

4. Como funciona o Boot agora?

Quando você reiniciar o seu Dell E7240 ou ThinkPad T580 com Libreboot 26.01:

  1. POST: O Libreboot inicializa o hardware.
  2. Payload: O GRUB (do chip) carrega.
  3. Detecção: O GRUB detecta que a partição / (ou /boot) é LUKS2.
  4. Prompt: Ele pede a senha antes de mostrar o menu de seleção de Kernel.
    • Nota: O layout do teclado aqui será o definido no Libreboot (geralmente US QWERTY), cuidado com senhas que usam caracteres especiais se seu teclado físico for ABNT2.
  5. Descriptografia: Ele usa o novo suporte ao Argon2 para abrir o volume.
  6. Menu: O menu do GRUB (que estava criptografado dentro do disco) aparece.

Resumo do ganho de segurança

Antigamente, se alguém roubasse seu laptop e você usasse /boot não criptografado (comum em setups antigos de Libreboot), o atacante poderia injetar um Kernel malicioso ou um keylogger no initramfs sem saber sua senha.

Com LUKS2 FDE (Full Disk Encryption) suportado nesta versão 26.01, nada pode ser modificado no disco sem a senha. É a segurança máxima de firmware + software.

TAGS:
Compartilhe este artigo
Games

SuperTux 0.7.0-beta.2 lançado: Multiplayer refinado e correções críticas

RxiUeZDx 0 7 0 beta 2 novidades multiplayer

O pinguim evoluiu: Multiplayer, estabilidade e novas mecânicas no clássico do Linux. Confira o que muda no SuperTux 0.7.0 Beta 2.

Por Emanuel Negromonte

Leia também

Posts sobre o mesmo assunto