NESABAMEDIA.COM – En el evento CES 2022 que se celebró a principios de este año, AMD anunció que la CPU Ryzen 6000 Rembrandt, la primera en la industria informática como un dispositivo que incluye soporte para Microsoft Pluton. Además, Lenovo también anunció los portátiles ThinkPad Z13 y Z16 que también son compatibles con Pluton. Este nuevo dispositivo ThinkPad también cuenta con una CPU Ryzen™ 7 Pro 6860Z.
Microsoft Pluton es un coprocesador de seguridad para PC con Windows que Microsoft presentó por primera vez en 2020. Junto con el módulo TPM, Pluton está diseñado para mejorar la seguridad de los sistemas Windows.
Anteriormente, Matthew Garrett, arquitecto de seguridad de la información en Linux, encontró algo interesante sobre los nuevos ThinkPads de Lenovo con Pluton. Garrett logró hacerse con el ThinkPad Z13 y descubrió que no arrancaba el sistema operativo Linux mediante USB.
De la investigación inicial, se concluyó que Pluton, debido a que admite la función de arranque seguro, está configurado para aceptar solo cargadores de arranque y controladores de Windows y rechazará cualquier cosa que no esté basada en Windows. Linux y sus distribuciones utilizan la Autoridad de certificación (CA) UEFI de Microsoft de terceros para realizar el arranque seguro y parece que Pluton rechaza tal cosa.
“Finalmente pude conseguir el dispositivo Lenovo Thinkpad Z13 para comprobar la implementación funcional del coprocesador de seguridad Microsoft Pluton. El intento de iniciar Linux desde USB falló por razones desconocidas, pero tras una inspección más detallada, la causa quedó clara. El firmware predeterminado no confía en los cargadores de arranque ni en los controladores firmados por claves Microsoft UEFI CA de terceros.
Esto significa que debido a esa configuración de firmware predeterminada, excepto Windows, no arrancará. Esto también significa que no podrá iniciar desde ningún periférico externo de terceros”, dijo Garrett.
Lenovo en un documento que confirma este caso. A partir de 2022, los certificados de terceros estarán desactivados de forma predeterminada según lo recomendado por microsoft para PC con arranque seguro.
“Las distribuciones de Linux utilizan un ejecutable shim firmado por Microsoft que luego puede verificar la siguiente etapa de arranque, que se firmó con la clave de distribución. Microsoft firmó un shim, lo firmó con un certificado UEFI de terceros y este certificado se almacena en la base de datos del BIOS. A partir de 2022, para Secured-core, Microsoft requiere que los certificados de terceros estén deshabilitados de forma predeterminada”, dijo Lenovo.
Sin embargo, hay una manera de evitar esto: para las personas que desean ejecutar Linux en una computadora portátil Lenovo con arranque seguro y Microsoft Pluton, pueden hacerlo activando la opción “Permitir CA UEFI de terceros de Microsoft” en Bios.
