Os laptops da Lenovo causaram um distúrbio na semana passada depois que um engenheiro de segurança se viu incapaz de inicializar uma cópia do Linux devido a restrições que aparentemente são exigidas pela Microsoft. Depois de muita pressão, a Lenovo diz que a Microsoft impede instalação do Linux em seus laptops.
Matthew Garrett, um arquiteto de segurança da informação, estava ansioso para conferir os mais recentes produtos equipados com Pluton da Lenovo, mas se viu incapaz de inicializar o Linux a partir de um pendrive “sem motivo óbvio“.
O Pluton é o mais recente esforço da Microsoft para proteger PCs e pode atuar como um Trusted Platform Module (TPM) ou como um coprocessador de segurança não TPM. Surgiu em 2020, com a Microsoft dizendo que Intel, AMD e Qualcomm estavam todos a bordo. Enquanto a Acer lançou a tecnologia com o kit em maio, a Dell não está interessada e a Lenovo começou o ano dizendo que ele não seria ativado por padrão.
Um porta-voz da Microsoft disse em janeiro que usar a tecnologia com o Linux era “um cenário sem suporte”.
Lenovo diz que Microsoft impede instalação do Linux em seus laptops alegando segurança
Garrett estava ansioso para examinar uma implementação funcional do coprocessador, mas ao desembalar um novo Z13 se viu incapaz de inicializar em qualquer coisa além do Windows pré-instalado.
Historicamente, muitas distribuições Linux trabalharam com o Secure Boot para garantir que o carregador de inicialização e o kernel não fossem adulterados.
A documentação de suporte da Lenovo [PDF] explica assim: “As distribuições Linux usam um executável ‘shim’ assinado pela Microsoft que é capaz de verificar os estágios de inicialização subsequentes que foram assinados com a chave de distribuição. O shim assinado pela Microsoft é assinado usando o ‘Microsoft Certificado UEFI de terceiros’, e esse certificado é armazenado no banco de dados do BIOS.”
Até agora tudo bem. No entanto, para PCs Secured Core “é um requisito da Microsoft que o certificado de terceiros seja desativado por padrão”, de acordo com a Lenovo.
Portanto, se o seu PC for fornecido com o Windows pré-instalado, há uma etapa adicional a ser executada para instalar o Linux (ou inicializar em outra coisa) envolvendo um salto na configuração do BIOS para habilitar o certificado UEFI de terceiros da Microsoft mais uma vez.
Sem surpresa, Garrett não ficou impressionado, observando: “Toda a arquitetura da inicialização segura UEFI permite a segurança sem comprometer a escolha do sistema operacional pelo usuário. Por favor, conserte isso.”
O veterano da Lenovo, Mark Pearson, entrou na discussão, comentando sobre o certificado: “Devemos habilitá-lo para nossos sistemas pré-carregados do Linux – mas não é para o pré-carregamento do Windows.
“Eu não acho que isso seja uma coisa específica da Lenovo, talvez sejamos os primeiros com núcleo seguro?”
Pode ser. Ou talvez outros fornecedores possam ter uma visão ligeiramente diferente dos assuntos.