Pluton搭載Thinkpad Z13、デフォルトのファームウェア設定ではLinuxを起動できない 51
ストーリー by nagazou
罠 部門より
罠 部門より
headless 曰く、
Microsoft Pluton セキュリティプロセッサーを搭載する Lenovo の Thinkpad Z13 では、デフォルトのファームウェア設定で Linux が起動できないそうだ (Matthew Garrett 氏のDreamwidth 投稿、 Phoronix の記事、 Neowin の記事)。
これはファームウェアのデフォルトが Microsoft 3rd Party UEFI CA キーで署名されたブートローダーやドライバーを信頼しない設定になっているためだ。Thunderbolt 接続したサードパーティ製の外付機器からブートすることもできないとのこと。発見した Aurora Innovationのセキュリティ開発者 Matthew Garrett 氏はセキュリティ上のメリットがないと Lenovo を批判したが、MicrosoftがSecured-Core PCの要件として 2022 年から「Allow Microsoft 3rd Party UEFI CA」オプションのデフォルトオフを義務付けている (PDF) ためだという。
そのため、Lenovo の Mark Pearson 氏 (らしき Dreamwidth ユーザー) は Linux プリインストールマシンならオンにしておく必要があるが、Windows プリインストールマシンではオフだと説明する。一方、Dell の Rick Martinez 氏はすべての構成で 3rd Party UEFI CA のデフォルトオンを強く支持すると述べている。どちらが正解だろうか。
無効化できる (スコア:1)
「Allow Microsoft 3rd Party UEFI CA」をオンに出来ないならひでぇ話だが、出来るなら好きにしたら良いんじゃね?
[PDF] Enabling Secure Boot for Linux on Lenovo Secured-core PC's
https://download.lenovo.com/pccbbs/mobiles_pdf/Enable_Secure_Boot_for_... [lenovo.com]
Re: (スコア:0)
よりによってタイトルを正反対の意味でtypoした……
誤:無効化できる
正:有効化できる
Re: (スコア:0)
設定画面に入るためのキーは実質か実際かはともかくほぼ表示されないだろうけどね。
高速起動の名目で表示しない事を推奨してそう。
こうやってサードパーティに地味な嫌がらせするのが今のマイクロソフトのトレンド。
関連付けもちまちまふっとばすしそういう方針なんだろうな。
これで署名貰うのに有料審査とかだと呆れる他ないけどどうなんだろう?
Re: (スコア:0)
妄想と憶測で嫌がらせだーって言い出すやつが居て、それに対してなら取り締まらなきゃーってコメントやつも出てくるというピュアな世界
切り替えられるなら (スコア:1)
UEFIで設定すればいいなら大した問題じゃないだろう。設定すればいい。
そもそも起動順設定は必要なんだし誤差じゃない?
ただ「セキュリティ」「性能」がユーザーの自由を制限する口実として使われる昨今としては危ういね。
スマホとか大抵はOSの自力インストールすらできないし、iOSだとアプリすら入れられないし、電池も自力分解しないと交換できない。
PCの世界はラップトップでも現状程度の自由は維持して欲しい。
と言ってもメモリ交換できない機種は今や珍しくないし、ストレージすら拡張できないゴミまである。
せめてデスクトップPCだけは…。
Re:切り替えられるなら (スコア:2, 興味深い)
UEFIで設定すればいいなら大した問題じゃないだろう。設定すればいい。
Proなんで1台の個人利用想定ではなく事業所レベルでの導入ケースで考えたほうがいいかな
・Intel vProみたいにAMD Management Consoleがどこまで使えるのか
・一括でUEFI CA キーの設定を遠隔更新可能なのか
は明確になってないんじゃないかな
これが上手くできないとWindows以外での一括導入は非対応ってのと同義かと
# AMD Management Consoleの実用事例ってまだそれほどでてないしなぁ
Re:切り替えられるなら (スコア:1)
Linuxプリインストールモデルを買え
Re: (スコア:0)
技適が気になります!
Re: (スコア:0)
無線LANドライバーは真面目に要注意よね。
COUNTRY=US
とかでUS仕様にできちゃうと普通にアウトだから。
Re: (スコア:0)
無線LANドライバーは真面目に要注意よね。
COUNTRY=US
とかでUS仕様にできちゃうと普通にアウトだから。
今どきならWi-FiやLTE経由の位置情報得られるんだから
ドライバ側で各国仕様の範囲内に自動制限する義務を強いてもいいんじゃないかな
言語設定見ちゃって違法電波バグとか出されてもあれだし
ドライバさえ署名あり使ってればカスタムROMもOKにしちゃえるし
# 技適系は初回ハードウェア分とドライバ署名のソフトウェア分でOKにならんもんかね
Re: (スコア:0)
ハードウェアで固定される事を必須(ハックでもなんでもして出力変えられたら意味がねぇ)
って訳だから、多分無理
それこそPlutonにドライバのハック防止してもらう?(Linuxでは無線が使えませんとか(爆笑))
Re: (スコア:0)
日本のためだけにそんな面倒なことするくらいならおま国でしょうな…
ACアダプタにも日本にだけ添付しないとかあったような…
Re:切り替えられるなら (スコア:1)
技適を目の敵にする人って「各国仕様」というのが読めないのかね。
Re:切り替えられるなら (スコア:1)
> 技適を目の敵にする人って
そんな人はいない。技適をコーランみたいに扱ってる人がうざいだけ。
Re: (スコア:0)
FCCを取ってない製品をアメリカで使えない
CEを取ってない製品はEU圏で使えない
技適を取ってない製品は日本で使えない
というように、決まっているわけですが?
(アメリカでFCC取ってない製品でも使って大丈夫、というのであれば、その具体的な根拠を示してもらえれば
Re: (スコア:0)
事業所レベルといってもセットアップの完全自動化はできないんだし(Windowsだとしても手動は入るでしょ)、現実的には大した話でもない気がする。
Re: (スコア:0)
スマホレベルまで行くと真のゴミだもんなぁ…
#メモリスロット一個のThinkpadにはもう用はない
Re: (スコア:0)
今はONにできるかもしれないけど、将来はわかりません。
OFF固定や、何か特殊な非公開のコマンドや操作をしないとONにするメニューにたどり着けないとかを強制してくる可能性もある。
それを防ぐためにも今から声を上げることは重要です。
Re: (スコア:0)
もう遅い。スマホというガチガチなのが既にオッケーなってるから。
スマホに反対唱えてた人ならその主張してもいいと思うけど「コレにだけ」なら権利ないと思うよ。
Re: (スコア:0)
ガラケーはもっと酷かったじゃん。
だから?、ガラケー持ってなかった。
Re: (スコア:0)
こういう彼らが最初共産主義者を攻撃したとき [wikipedia.org]メソッドは現実には筋が悪い論法のひとつ。
実害がないのに何でもかんでも予防的に声を上げてたら「また原理主義者が何か言ってる…」と白い目で見られるだけなので。
そうすると実際に強制されたときに味方になってくれる人がいなくなる。
それに向こうはそれなりに意味があると思ってやっていることなので、それを上回る反論材料がないと誰かを動かすことはできない。
パワーバランス (スコア:0)
L社はM社が「こう!」って言ったら逆らえないからなぁ。
I社の頃からだけど。
余計な事すんな (スコア:0)
EUの役人が思い付きで変な制裁課すとWindows NとかKNみたいなゴミSKUが生えてきてサポートの面倒が増えるんだよ。
GDPRだってそうでしょうが。
Windows PEはどうなる? (スコア:0)
Windows PEを素通しするならセキュリティ上の意味がないLinuxいじめだが、Windows PEもまとめてブロックするのであれば公平だしセキュリティ上のメリットもあるんじゃないのか
Re: (スコア:0)
たとえば、BitlockerのキーがUEFIレベルで保管されてるとして、
Linuxからだと読み放題だけど、PEだったら既設のポリシに準拠する…とかなら、
PEとLinuxの扱いに違いがあっても、おかしくないと言える。
手間が増えるだけユーザは減る (スコア:0)
「やりたい奴は自分でオンにすれば良い」というような意見はよく見るが
手間が増える時点でその分「ちょっと試してみよう」と言う層を排除することができる
Linuxにしようとするユーザを徹底的に排除しようとすれば間違いなく大きな批判が出るが
こういった微妙な手段であれば批判を抑えつつLinuxユーザを増やさない様にすると言う方法をとることができる
セキュリティ強化という建前もあるしほぼ完璧なやり方
Re:手間が増えるだけユーザは減る (スコア:1)
「ちょっと試してみよう」なユーザがLinuxをインストールしたところで、
早々にも飽きて「いらないから消そう」になることは目に見えて明らかなので、
そういう人々は黙ってWindowsだけ使っとけ、でいいかと思います。
無償利用が可能なLinuxであれば、厄介ユーザが下手に入ってこられて
メーリングリストとかSNSとかで喚き散らされても困りますしね。
# 敢えて誰とは言わない
Re:手間が増えるだけユーザは減る (スコア:1)
「ちょっと試してみよう」なユーザがLinuxをインストールしたところで、
近年だとその需要はVMで足りちゃいますからねぇ
昔じゃCPUやストレージが足りててもメモリ量で使い物になりませんでしたし
# CLIでも年々メモリ喰う量増えてるが
Re: (スコア:0)
よほどのことがなければベアメタルではなくVMで導入したほうが楽なんだけどねえ。
デュアルブートは後始末が非常に面倒なのでおすすめしない(近年のブートローダーでは多少楽になったが)
Re: (スコア:0)
アレゲのパソコンじゃPCの電源をオンにするときどうするOSはXenとかハイパーブイを動かすためだけに存在するって本当?
Re:手間が増えるだけユーザは減る (スコア:1)
「オンにするとき、どうするOS」って何?
としばらく考えてしまったじゃないか
Re: (スコア:0)
アレゲの家にはオンプレ仮想サーバがいます。Xenは少なすぎるんじゃないかな。
自宅ラックサーバ勢は稀にいるようだがこのご時世電気代は考えているのかは知らん。
Re: (スコア:0)
Xenは見たことないけどESXi/Hyper-Vはそれなりに居たかと。
一昔前のNUC手乗り仮想マシンサーバーでしょ?
Re:手間が増えるだけユーザは減る (スコア:1)
というか、ちょっと試すんならWSLで充分じゃないの?
Re: (スコア:0)
開発者向けの味付けだからWSLではちょっと。
VmwareなりVirtualBoxから仮想マシン作ってインストールする儀式から始めたほうが理解しやすいはず。
Re:手間が増えるだけユーザは減る (スコア:1)
だったら益々実機に直接インストールする必要なんてないじゃん。
仮想マシンで十分やろう? (スコア:0)
WSLとか仮想マシン上でLinuxを動かせばそれで済むこと多くないか?
Re: (スコア:0)
ここで文句言ってる人は、ブートプロセスなど基幹部分からMicrosoftの製品を排除する事も重要なので、linux等を直接ブートする必要があるのです。
修理する権利にも関わってくる問題では無いのか? (スコア:0)
HDDなどのトラブルで、代わりの媒体から起動することはよくあること
特に、Windowsのインストールディスクに比べると
Linux系OSのインストールディスクは
診断するためのツールが充実している場合もあり
状況を的確に判断することができる。
たとえばWindowsのインストールディスクで起動できても
SMART情報を参照する手段があるのか、私は知らない。
聞いたことがないから、たぶんできないんじゃないだろうか?
熟練者なら対処のしようはあるとしても
素人が、見様見真似でやろうと思っても
「動画と違う」という体験を与えるのがこのPCだ。
データサルベージができずHDDの交換ができず
HDDの死亡確認もできず
メーカー修理にも出せず、手詰まりになってしまうこともあるだろう…
そもそも、保証期間が切れたらメーカー修理は割高すぎるし
付属OSのおしまいで買い替えに追い込まれるなんてまっぴらごめんだ!
UEFI自体が、Linux系OS導入の難易度を確実に跳ね上げているのに
さらに一段登ろうなんて暴挙は、客離れを引き起こす。
ThinkPadの支持層には、パソコンに詳しい人と目され影響力が強い人も多い
そういった人自体は買っても、他人に勧めなくなっていけば
確実に顧客層は狭まっていく。
Re: (スコア:0)
レスキュー系やパーティション系のツールの場合、OSのシステムが入ってる部分を弄るという目的上、別のOS(linux系が多い)を自前で用意して立ち上げる物が多いので、そういうのは確かに使えなくなる。
しかし、このPCの想定顧客は、恐らく起動不能レベルのトラブルになったら、メーカー修理に出すか素直に買い換えでしょう。
Re: (スコア:0)
HDDなどのトラブルで、代わりの媒体から起動することはよくあることではない(そんなにしょっちゅうOS領域が壊れてたまるか!)
Secured-Core PCの要件になっているのだから、遠からずデフォルトオフのPCが増えて、それが当たり前になるだけだぞ
大仰に騒いでみせたところで設定変更で使えるんだからどれもこれも大した問題ではないな
wsl (スコア:0)
があるし
そもThinkPad Zシリーズとは (スコア:0)
ThinkPad Zシリーズ [lenovo.com]を今まで聞いたことなかったので調べたところ、
【笠原一輝のユビキタス情報局】Z世代向けデザインの「ThinkPad Z13 Gen 1」、AMD採用で高性能を実現 - PC Watch [impress.co.jp]
という感じの(復刻?)シリーズらしい。
Lenovoが得意とするビジネス向けのPCでPlutonを搭載してセキュリティをガチガチに固めるのなら理解できるが、こういった個人向けモバイルノートでSecured-Core PCにする必要があるのかってのはやや疑問。
Re: (スコア:0)
実に約15年ぶりということですが、2005年当時のスラドの記事↓
ThinkPadにワイド液晶採用の「Zシリーズ」が追加 | ストーリー | スラド
みんなもう忘れてる (スコア:0)
- Lenovoが中間者攻撃的な挙動をするアドウェアをプリインストールしていたことが明らかに
- Superfishのように勝手にルート証明書をインストールするソフト、続々見つかる
- DellのPCに不審なルート証明書がプリインストールされていた?
- カザフスタン政府発行のルート証明書、中間者攻撃が判明して各社ブラウザーにブロックされる
これらはOSのトラストストアでの出来事だったけど、同様の懸念はUEFIにもあるわけで、MSがLenovoに課した条件がデフォルトオフなんでしょうよ。Re: (スコア:0)
つまり、叩くべきはMicrosoftではなくLenovoと言いたいのかな?
あるいは、海賊版対策とか。
#この頃米中関係も色々荒れてるし