Conecta con nosotros

Noticias

Un coprocesador de Microsoft impide el arranque de Linux en portátiles ThinkPad

Publicado

el

Lenovo ThinkPad Z13 y Z16

Lenovo presentó hace medio año, en el CES 2022, los portátiles ThinkPad Z13 y ThinkPad Z16, que incorporan AMD Ryzen PRO 6000 como tecnología de procesador junto a gráficas dedicadas de Radeon. Hasta aquí nada fuera de lugar, pero recientemente se ha descubierto que no son capaces de ejecutar Linux, ni siquiera mediante una sesión en vivo.

El descubrimiento de que los portátiles ThinkPad Z13 y Z16 no son capaces de arrancar Linux tiene la firma de Matthew Garrett, un destacado desarrollador y uno de los mayores defensores de Secure Boot dentro de Linux. La razón de por qué dichos equipos son incapaces de ejecutar Linux es por la presencia de un coprocesador propio de Microsoft, Pluton, que solo confía en la clave de UEFI propia del gigante de Redmond para Windows 11 y no en la de terceros impulsada por la propia compañía para sistemas operativos alternativos (Microsoft 3rd Party UEFI CA key).

Dicho con otras palabras, el coprocesador Microsoft Pluton tiene como configuración o requerimiento emplear únicamente la clave de UEFI Secure Boot para Windows 11. Esto significa que los portátiles solo funcionan con la configuración de firmware por defecto e impiden el inicio de otros sistemas debido a que marcan los cargadores de arranque y los drivers firmados con la clave de terceros como no confiables. Ni siquiera distribuciones con un “buen” soporte de Secure Boot como Ubuntu y Fedora pasan el filtro, y encima, en este caso, también se impide el arranque desde cualquier periférico de terceros conectado a través de Thunderbolt.

Si uno hurga en la ficha oficial de los portátiles en la web de ThinkPad, podrá encontrar la siguiente afirmación: “Los portátiles Z13 y Z16 son los primeros de la industria en implementar un procesador de seguridad integrado en la CPU, que ayuda a eliminar la exposición a amenazas y prevenir ataques físicos. Esta nueva tecnología de seguridad desde el chip hasta la nube es el resultado de una asociación entre Microsoft y AMD que funciona junto con el cifrado de datos y la protección biométrica tan única como tu ADN personal”.

Descripción del coprocesador Microsoft Pluton en la web de Lenovo Thinkpad

Más allá de las cuestiones en torno a la autenticación biométrica, Matthew Garret es tajante a la hora de afirmar que el impedir la carga de claves de terceros no aporta ningún beneficio a nivel de seguridad y que solo sirve para poner barreras al inicio de sistemas operativos alternativos. El desarrollador recuerda que “la arquitectura completa de UEFI Secure Boot es la que permite obtener seguridad sin comprometer la elección del sistema operativo del usuario”.

Secure Boot es una característica que siempre ha generado controversia más allá de Windows. Algunos la consideran más un vendor lock que una auténtica característica de seguridad, un punto de vista que, al menos en algunos casos, quedó reforzada al descubrirse que Ubuntu la soportaba saltándose la propia especificación.

Otro episodio es el módulo de seguridad Lockdown, que terminó siendo incorporado en Linux después de siete años de discusiones entre Matthew Garrett y Linus Torvalds, creador del kernel Linux. La razón de aquella discusión tan dilatada en el tiempo, que además llegó a ser muy bronca en ciertos momentos, fue en buena parte debido a que Garrett insistía en atar Lockdown a Secure Boot, mientras que Torvalds se oponía por las posibles consecuencias imprevistas que eso podría acarrear. Al final el creador de Linux consiguió imponer su punto de vista y el atar Lockdown a Secure Boot quedó como una característica opcional.

Aparte de la polémica en torno a la ejecución de Linux en los portátiles ThinkPad Z13 y ThinkPad Z16, queda la carta de “coger el hacha” e inhabilitar Secure Boot de raíz. Eso debería de eliminar la barrera que impide el inicio de sistemas operativos alternativos, pero a saber cuáles son las consecuencias en esos equipos con el coprocesador Microsoft Pluton en medio, porque el proceso de comprobación de firmas ya no debería de estar presente, pero es posible que Linux siga sin arrancar por culpa de una incompatibilidad de hardware.

Lo más leído