Microsoft Pluton, Redmond şirketi tarafından 2020 yılında piyasaya sürdüğün Windows bilgisayarlar için yardımcı güvenlik yongasıdır. Microsoft’un TPM ile ilgili çalışmalarında işlemci ve TPM çipi arasında yaşanan zafiyette çözüm olarak Pluton bu açığı işlemci üzerine yerleştirerek donanımsal bir çözüm üretti. Microsoft bu konuda İşlemci üreticileri ile yakın çalışıyor. AMD bu konuda ilk üretici oldu.

Linux’ta Bilgi Güvenliği mimarı Matthew Garrett, Pluton’lu yeni Lenovo ThinkPad’ler hakkında ilginç bir şey keşfetti.  Garrett, bir ThinkPad Z13’te cihazın bir USB kullanarak Linux’u başlatamadığını gördü.

İlk araştırmadan, Güvenli Önyükleme nedeniyle Pluton’un yalnızca Windows önyükleyicilerini ve sürücülerini kabul edecek ve Windows dışındaki herhangi bir şeyi çalıştırmayı reddedecek şekilde ayarlandığı sonucuna varıldı. Linux ve dağıtımları, Güvenli Önyükleme için üçüncü taraf Microsoft UEFI Sertifika Yetkilisini (CA) kullanır ve görünüşe göre Pluton bu türden herhangi bir şeyi reddedecektir. İşte Matthew Garrett’ın blog yazısında yazdıkları :

Sonunda Microsoft’un Pluton güvenlik yardımcı işlemcisinin işlevsel bir uygulamasını incelemek için bir Thinkpad Z13’ü ele etmeyi başardım. Linux’u bir USB’den başlatmaya çalıştım, bir türlü başlamadı, daha fazla incelemeden sonra neden netleşti – üretici yazılımı varsayılan olarak önyükleyicilere veya Microsoft 3. Parti UEFI CA anahtarıyla imzalanmış sürücülere güvenmiyor. Bu, varsayılan üretici yazılımı yapılandırması göz önüne alındığında, Windows dışında hiçbir şeyin önyüklenmeyeceği anlamına gelir. Bu aynı zamanda Thunderbolt aracılığıyla bağlanan herhangi bir üçüncü taraf harici çevre biriminden önyükleme yapamayacağınız anlamına da gelir.

Lenovo, bir belgede ( PDF ), durumun böyle olduğunu, 2022’den itibaren üçüncü taraf sertifikalarının Microsoft tarafından Güvenli Önyükleme Bilgisayarı için önerildiği gibi varsayılan olarak devre dışı bırakıldığını onaylar. Şunu belirtir:

Linux dağıtımları, daha sonra dağıtım anahtarıyla imzalanmış olan sonraki önyükleme aşamalarını doğrulayabilen Microsoft imzalı bir ‘shim’ yürütülebilir dosyası kullanır. Microsoft imzalı Shim, “Microsoft 3. Parti UEFI Sertifikası” kullanılarak imzalanır ve bu sertifika BIOS veritabanında saklanır. 2022’den itibaren Güvenli Çekirdekli Bilgisayarlar için 3. Taraf Sertifikasının varsayılan olarak devre dışı bırakılması bir Microsoft gereksinimidir.

Güvenli Önyükleme ile bir Lenovo dizüstü bilgisayarda Linux çalıştırmak isteyen kişiler, BIOS’ta “Microsoft 3. Parti UEFI CA’ya İzin Ver” seçeneğini etkinleştirerek bunu yapabilirler. İşte adımlar:

  1.  BIOS kurulum menüsüne önyükleme yapın. Bilgisayarınızı yeniden başlatın ve “Normal başlatmayı kesmek için Enter’a basın” mesajı görüntülendiğinde F1 tuşuna basın
  2. BIOS menüsünde “Güvenlik” seçeneğini ve “Güvenli Önyükleme” alt menüsünü seçin. “Microsoft 3. taraf UEFI CA’ya izin ver” seçeneğinin “Açık” olmasına izin verin
  3. Kaydetmek ve yeniden başlatmak için F10 tuşuna basın

Ancak oldukça ilginç bir şekilde Lenovo, daha önce Pluton’un 2022 ThinkPad modellerinde varsayılan olarak devre dışı bırakılacağını belirtmişti ve burada Z13 varyantını da içeriyor. Bu kararın, yukarıda bahsedilen 3. Taraf UEFI anahtarlarını reddetmek için katı Microsoft gereksinimi ile bir ilgisi olup olmadığını merak ediyoruz.

Kaynak:Phoronix

By Ortanca Samuray

1990'dan beri Unix- GNU Linux kullanıcısı

%d blogcu bunu beğendi: