Las computadoras portátiles de Lenovo causaron problemas la semana pasada después de que un ingeniero de seguridad se vio incapaz de iniciar una copia de Linux debido a las restricciones en las que aparentemente Microsoft insistió en que se implementaran.

Matthew Garrett, un arquitecto de seguridad de la información, estaba ansioso por ver los últimos productos equipados con Pluton de Lenovo, pero fue imposible iniciar Linux desde una memoria USB « sin alguna razón obvia ».

Pluton es el último esfuerzo de Microsoft para proteger su mercado de las PC y puede actuar como un módulo de plataforma confiable (TPM) o como un co-procesador de seguridad que distinto a TPM. Surgió en 2020, cuando Microsoft dijo que Intel, AMD y Qualcomm estaban todos a bordo. Si bien Acer lanzó la tecnología con en mayo pasado, Dell tuvo poco interés y Lenovo comenzó el año diciendo que estaría desactivado de manera predeterminada.

Un portavoz de Microsoft le dijo a The Register en enero que usar la tecnología con Linux era «un escenario sin soporte».

Garrett estaba ansioso por examinar una implementación funcional del co-procesador, pero al desempaquetar un nuevo Z13 se encontró incapaz de iniciar nada más que Windows preinstalado.

Históricamente, muchas distribuciones de Linux han trabajado con Secure Boot para garantizar que el cargador de arranque y el núcleo estén libres de manipulaciones.

La documentación de soporte de Lenovo lo explica así: «Las distribuciones de Linux usan un ejecutable 'shim' firmado por Microsoft que luego puede verificar las etapas de arranque posteriores que se han firmado con la clave de distribución. El shim firmado por Microsoft se firma usando el 'Microsoft Certificado UEFI de terceros', y este certificado se almacena en la base de datos del BIOS».

Hasta aquí todo bien. Sin embargo, para las PC con Secured Core «es un requisito de Microsoft que el certificado de terceros esté deshabilitado de forma predeterminada», según Lenovo.

Por lo tanto, si su PC se entrega con Windows preinstalado, se debe realizar un paso adicional para instalar Linux ―o arrancar en otra sistema operativo― que implica un salto a la configuración del BIOS para habilitar el certificado UEFI de terceros de Microsoft una vez más.

Como era de esperar, Garrett quedó poco sorprendido y señaló: «Toda la arquitectura del arranque seguro UEFI es que permite la seguridad sin comprometer la elección del sistema operativo del usuario. Restringir el arranque a Windows de forma predeterminada no proporciona ningún beneficio de seguridad, pero dificulta que las personas ejecuten el sistema operativo que necesitan. Por favor, arreglen ésto».

Fuente: The Register.