KONGGRES.COM – Pada event CES 2022 yang digelar pada awal tahun ini, AMD mengumumkan bahwa CPU Ryzen 6000 Rembrandt, yang pertama dalam industri komputer sebagai perangkat yang mengemas dukungan Microsoft Pluton. Selain itu, Lenovo juga mengumumkan notebook ThinkPad Z13 dan Z16 yang juga mendukung Pluton. Perangkat ThinkPad baru ini juga ditenagai oleh CPU Ryzen ™ 7 Pro 6860Z.
Microsoft Pluton adalah co-prosesor keamanan untuk PC Windows yang pertama kali diperkenalkan oleh Microsoft pada tahun 2020. Bersamaan dengan modul TPM, Pluton dirancang untuk meningkatkan keamanan sistem Windows.
Sebelumnya, Matthew Garrett yang merupakan arsitek keamanan informasi di Linux, menemukan sesuatu yang menarik tentang Lenovo ThinkPads baru dengan Pluton. Garrett berhasil mendapatkan ThinkPad Z13 dan menemukan bahwa perangkat tersebut tidak bisa melakukan booting sistem operasi Linux menggunakan USB.
Dari penyelidikan awal, disimpulkan bahwa Pluton karena memiliki dukungan fitur Secure Boot, diatur hanya bisa menerima bootloader dan driver Windows saja, dan akan menolak apapun yang bukan berbasis Windows. Linux dan distribusinya menggunakan Microsoft UEFI Certificate Authority (CA) pihak ketiga untuk bisa melakukan Secure Boot dan sepertinya Pluton menolak hal semacam itu.
“Saya akhirnya bisa mendapatkan perangkat Lenovo Thinkpad Z13 untuk memeriksa penerapan fungsional dari co-prosesor keamanan Microsoft Pluton. Mencoba untuk melakukan booting Linux dari USB, gagal untuk alasan yang tidak jelas, namun setelah pemeriksaan lebih lanjut, penyebabnya menjadi jelas. Firmware default tidak mempercayai bootloader atau driver yang ditandatangani oleh kunci UEFI CA Microsoft pihak ketiga.
Ini artinya karena konfigurasi firmware default itu, selain Windows tidak akan bisa diboot. Ini juga berarti bahwa anda tidak akan bisa melakukan booting dari peripheral eksternal pihak ketiga apapun itu,” ungkap Garrett.
Lenovo dalam sebuah dokumen mengkonfirmasi soal kasus ini. Mulai tahun 2022, sertifikat pihak ketiga dimatikan secara default seperti yang direkomendasikan oleh Microsoft untuk PC dengan Secure Boot.
“Distribusi Linux menggunakan executable shim yang ditandatangani Microsoft yang kemudian dapat memverifikasi tahap boot berikutnya, yang telah ditandatangani dengan kunci distribusi. Shim yang ditandatangani Microsoft, ditandatangani menggunakan sertifikat UEFI pihak ke-3, dan sertifikat ini disimpan dalam database BIOS. Mulai tahun 2022, untuk Secured-core, Microsoft mewajibkan sertifikat pihak ketiga untuk dinonaktifkan secara default,” terang pihak Lenovo.
Meski demikian ada cara untuk menyiasati, untuk orang-orang yang ingin menjalankan Linux di laptop Lenovo dengan Secure Boot dan Microsoft Pluton, bisa melakukannya dengan mengaktifkan opsi “Allow Microsoft 3rd Party UEFI CA di Bios.