Linux 安全研究员 Matthew Garrett 分享说,联想较新的 AMD Rembrandt 笔记本电脑配备了微软的 Pluton 安全协处理器,默认情况下不会启动 Linux。该问题源于默认情况下未启用第三方 UEFI 证书,事实证明这是微软现在似乎正在强制执行的内容。幸运的是,我在路上有一台配备 Ryzen 7 PRO 6850U 的 Lenovo ThinkPad X13 Gen3,因此现在能够在 Linux 下测试这种体验。
Matthew Garrett 以他的 Linux 安全引导工作和其他安全研究而闻名。他很快批评联想没有在默认情况下启用第 3 方 UEFI CA 的新笔记本电脑,并且“这没有安全优势”。与此同时,联想发布了一份通知,确认了这一变化,并似乎将其归咎于微软,“从 2022 年开始,对于安全核心 PC,微软要求默认禁用 3rd Party Certificate。这意味着对于这些联想中的任何一个预装 Windows 的平台需要一个额外的步骤来允许 Linux 在启用安全启动的情况下启动。 ”
对于“安全核心”PC,这可能与 Pluton 一起使用。我在一台新笔记本电脑和其他 2022 年型号的笔记本电脑中安装了Intel Core i7 1280P,这些笔记本电脑在运行 Windows 11 时没有进行这种更改。但是,我还没有看到微软围绕这项任务的确切措辞。
幸运的是,由于 7 月 4 日的一笔非常好的交易,我有一台联想 ThinkPad X13 正在为 AMD 锐龙 6000 系列“伦勃朗”支持和性能提供 Linux 测试,当这个消息在星期。虽然 Rembrandt 从今年早些时候就开始了,但由于主要笔记本电脑供应商对 Linux 缺乏兴趣(至少在产品评论和媒体报道方面),并且 AMD 没有合作进行 Linux 笔记本电脑测试,我一直无法在 Linux 下测试 AMD Rembrandt,直到自己购买笔记本电脑以提供 Linux 兼容性信息/审查和基准测试。
联想 ThinkPad X13 Gen3 (21CM0001US) 配备 Ryzen 7 PRO 6850U SoC,配备 RDNA2 Radeon RX 680M 显卡、16GB LPDDR5-6400 内存、512GB NVMe SSD、1920 x 1200 13.3 英寸显示屏和高通 NFA725A WiFi。我将很快在 Phoronix 上对这台联想笔记本电脑进行 Linux 基准测试,以及更多关于 Linux 下 AMD Rembrandt 的详细信息,以及许多基准测试的支持要求和性能。21CM0001US 于 6 月推出,零售价为 1770~1800 美元或更高,但在 7 月 4 日的售价仅为 1182 美元,这使得它的价格非常具有吸引力,而且我买得起它来提供一些有趣的 Linux 测试。
事实上,当尝试在 ThinkPad X13 Gen3 上启动 Ubuntu 22.04 LTS 实时映像时,它失败了。从启动菜单选择屏幕选择带有官方 Ubuntu 22.04 LTS 的 USB 驱动器,它失败并简单地返回启动菜单屏幕,没有任何消息。这是一种糟糕的用户体验,并且不会通知用户有关禁用 3rd 方证书或任何其他有关该问题的消息 – 它只是失败了。
但幸运的是,可以通过 Lenovo BIOS 轻松启用第 3 方 UEFI CA。只需在启动时按 Enter 以中断启动过程,按 F1 进入 BIOS,然后在安全页面上显示“允许 Microsoft 3rd Party UEFI CA”。或者也可以完全禁用 UEFI 安全启动。
这是 Garrett 的博客文章中没有明确说明的部分——可以轻松启用 3rd 方证书。但我确实同意他的评估,即现在必须默认禁用此证书是一项愚蠢的任务,而且似乎不是基于坚定的安全原因。特别是在默认行为的这种变化上缺乏消息传递,这会导致糟糕的用户体验,客户可能只是认为 Linux 在新笔记本电脑上启动时遇到了技术问题或其他问题。
启用第三方证书后,Ubuntu 22.04 LTS 映像在 ThinkPad X13 Gen3 笔记本电脑上启动良好。启用第三方证书后,Microsoft Windows 安装仍然可以正常启动。
在 Ubuntu 22.04 LTS 及其股票 Linux 5.15 内核和其他默认组件上,就标准功能而言,AMD Rembrandt 笔记本电脑运行良好 – 请继续关注我的 Linux 评论和许多性能基准测试。但长话短说,从 Ubuntu 22.04 桌面开始,WiFi 开箱即用,RDNA2 图形在股票内核和 Mesa 上得到很好的支持,等等。
不幸的是,根据 AMD 和联想的评论,微软显然要求默认禁用第三方 UEFI CA。但至少在当前的联想 ThinkPad 中,证书可以轻松启用,并且仍然可以完全禁用 UEFI SecureBoot。如果任何其他笔记本电脑供应商放弃让最终用户可以轻松访问这些选项,或者完全不将第三方证书加载到设备上,这将是一个更大的问题。现在用户体验也很差,当尝试在新设备上启动 Linux 发行版时,它会静默失败,而没有任何解释或安全启动证书状态的指示。如果联想(和其他 OEM)至少显示安全启动状态和 UEFI 启动菜单中的证书状态,那将是一个很好的折衷方案,
原创文章,作者:校长,如若转载,请注明出处:https://www.yundongfang.com/Yun176840.html