搭载微软Pluton安全芯片的笔记本无法安装Linux 研究发现是微软的限制
山外的鸭子哥 2020年11月微软宣布推出Pluton安全芯片,该芯片可以集成到英特尔、AMD和高通的处理器中,通过硬件加密极大地提高设备安全性。
在今年年初首批搭载Pluton安全芯片的设备亮相,Linux信息安全架构师Matthew Garrett找到一台搭载Pluton的联想Thinkpad Z13,然后发现这款设备无法正常引导安装Linux系统。
研究发现无法安装Linux的原因是安全启动导致的,Pluton的设置方式是只接受Windows引导加载程序和驱动程序,拒绝任何非Windows程序。
以往这种情况可以通过第三方Microsoft UEFI证书颁发机构进行安全启动,但Pluton不再接受这种方式:具体来说是Pluton固件默认不信任第三方Microsoft UEFI CA密钥签名的引导程序和驱动程序,这意味着在默认情况下除了Windows之外其他所有系统都会被拒绝,同时也无法通过诸如Thunderbolt插入第三方外围设备启动。
联想的一份文档也确认了这种情况,在文档中联想表示从2022年开始默认情况下禁用第三方证书,这是微软为安全启动PC的建议。
安全启动PC算是微软为企业级设备制定的一个小品牌,这类设备通常都搭载硬件加密芯片提高设备安全性。
不过在BIOS里实际上还可以修改配置从而允许第三方证书,不知道这是微软还是联想主动预留的选项。在BIOS的安全设置里可以看到允许第三方CA默认是关闭的,当手动开启此选项后就可以重新通过第三方Microsoft UEFI CA引导Linux或其他系统。
