Microsoft 보조 프로세서는 Linux가 ThinkPad 랩톱에서 부팅되는 것을 방지합니다.

6개월 전 CES 2022에서 Lenovo는 AMD Ryzen PRO 6000 프로세서 기술과 전용 Radeon 그래픽을 사용하는 ThinkPad Z13 및 ThinkPad Z16 노트북을 소개했습니다. 지금까지는 별 다른 것이 없었지만, 최근에는 실시간으로도 리눅스를 돌릴 수 없다는 사실이 밝혀졌다.

ThinkPad Z13 및 Z16 노트북이 Linux를 부팅할 수 없다는 사실을 발견한 것은 저명한 개발자이자 Linux 보안 부팅의 가장 큰 지지자 중 한 명인 Matthew Garrett 에 의해 이루어졌습니다. 이러한 컴퓨터에서 Linux를 실행할 수 없는 이유는 Microsoft의 자체 보조 프로세서인 Pluto가 타사 Linux 기반 키가 아니라 Redmond 거인의 Windows 11용 UEFI 키만 신뢰하기 때문입니다. 시스템(타사 Microsoft UEFI CA 키).

즉, Microsoft Pluton 보조 프로세서는 Windows 11 UEFI 보안 부팅 키만 사용하도록 구성되거나 필요합니다.이는 랩톱이 기본 펌웨어 구성으로만 실행되고 부트로더와 드라이버를 서명된 것으로 표시하기 때문에 다른 시스템이 시작되지 않는다는 것을 의미합니다. 신뢰할 수 없는 타사 키를 사용합니다. Ubuntu 및 Fedora와 같이 “좋은” 보안 부팅을 지원하는 배포판도 필터를 통과하지 않으며, 이 경우 Thunderbolt를 통해 연결된 타사 주변 장치에서 부팅도 방지됩니다.

ThinkPad 웹사이트 의 공식 노트북 목록을 자세히 살펴보면 다음과 같은 내용을 볼 수 있습니다. “Z13 및 Z16 노트북은 업계 최초로 CPU에 내장된 보안 프로세서를 구현하여 위협 노출을 제거하고 물리적 공격을 방지합니다. . 이 새로운 칩-클라우드 보안 기술은 개인 DNA만큼 고유한 데이터 암호화 및 생체 인식 보안과 함께 작동하는 Microsoft와 AMD 간의 파트너십의 결과입니다.”

생체 인증 문제를 제외하고 Matthew Garrett은 타사 키가 로드되는 것을 방지하는 것은 보안상의 이점을 제공하지 않으며 운영 체제 대안을 시작할 때 장벽을 만드는 역할만 한다고 명시적으로 밝혔습니다. 개발자는 “전체 UEFI 보안 부팅 아키텍처는 사용자가 선택한 운영 체제를 손상시키지 않으면서 보안을 제공하는 것”이라고 회상합니다.

보안 부팅은 Windows뿐만 아니라 항상 논란이 되어온 기능입니다. 일부 사람들은 이것을 진정한 보안 기능이라기보다 공급업체 잠금에 더 가깝다고 생각합니다. 적어도 어떤 경우에는 Ubuntu가 사양 자체 외부에서 이를 지원한다는 발견에 의해 강화된 견해 입니다.

또 다른 에피소드는 Lockdown 보안 모듈 로, Matthew Garrett과 Linux 커널 제작자 Linus Torvalds 간의 7년 간의 토론 끝에 마침내 Linux에 포함되었습니다. 때때로 매우 화가 났던 이 오랜 토론의 이유는 주로 Garrett이 Lockdown을 Secure Boot에 연결해야 한다고 주장한 반면 Torvalds는 예상하지 못한 결과를 초래할 수 있기 때문에 반대했기 때문입니다. 결국 Linux 제작자는 자신의 요점을 이해하고 Secure Boot에 대한 Lockdown의 바인딩은 선택적 기능으로 남겨졌습니다.

ThinkPad Z13 및 ThinkPad Z16 노트북에서 Linux를 실행하는 것과 관련된 논란을 제외하고, 상자에서 꺼내서 보안 부팅을 비활성화하는 카드가 남아 있습니다. 이것은 대체 운영 체제가 실행되는 것을 막는 장벽을 제거해야 하지만 서명 검증 프로세스가 더 이상 존재하지 않아야 하기 때문에 중간에 Microsoft Pluto 보조 프로세서가 있는 컴퓨터에 어떤 결과가 있을지 누가 ​​알 수 있지만 Linux는 여전히 존재하지 않을 수 있습니다. 하드웨어 비호환성으로 인한 부팅.