Thinkpad Z13: Lenovo verhindert standardmäßig Linux-Boots
Für eine Untersuchung an und Hacking mit Microsofts neuem Security-Chip Pluton hat sich der Sicherheitsforscher und langjährige Linux-Entwickler Matthew Garrett ein Thinkpad z13 besorgt. Zur Überraschung von Garrett verweigert der neue Laptop allerdings standardmäßig den Start von anderen Betriebssystemen als Windows wie etwa Linux. Das berichtet der Entwickler in seinem Blog(öffnet im neuen Fenster) .
Garrett schreibt: "Der Versuch, Linux von einem USB-Stick zu booten, schlug ohne ersichtlichen Grund sofort fehl, aber nach weiterer Untersuchung wurde die Ursache klar – die Firmware vertraut standardmäßig jenen Bootloadern oder Treibern nicht, die mit dem UEFI-CA-Schlüssel für Dritte von Microsoft signiert sind. Dies bedeutet, dass bei der Standard-Firmwarekonfiguration nichts anderes als Windows gestartet wird. Dies bedeutet auch, dass Sie nicht von externen Peripheriegeräten von Drittanbietern booten können, die über Thunderbolt angeschlossen sind."
Mit Secure Boot, dessen Umsetzung für Linux-Systeme sowie mit zahlreichen weiteren Sicherheitstechniken in der Firmware von Rechnern beschäftigt sich Garrett seit mehr als zehn Jahren. So war der Entwickler maßgeblich an der initialen Umsetzung in Fedora beteiligt , setzte dafür relevante Bootloader-Funktionen um und verteidigte die Sicherheitsgewinne durch Secure Boot schon früh auch im Interview mit Golem.de .
Doch das von Lenovo umgesetzte Vorgehen in Bezug auf Secure Boot liefert laut Garrett explizit keinerlei Sicherheitsgewinne. Sollte Sicherheit beim Boot wirklich wichtig sein, könne auf die TPM-Messungen zurückgegriffen werden, um das Booten eines anderen Systems zu entdecken, was trivial sei, erklärte er. Stattdessen mache die Funktion es für alle Nutzer aber einfach nur schwieriger, etwas anderes Windows zu starten. Komplett unterbunden wird der Linux-Boot aber nicht, da die Secure-Boot-Einstellungen in der Firmware geändert werden können.