System76 past coreboot aan zodat Intel Management Engine weer uit kan staan

System76 heeft zijn implementatie van biosalternatief coreboot aangepast zodat het mogelijk is om de Intel Management Engine uit te schakelen op nieuwe Raptor Lake-laptops. Daarmee wordt een grote bug in de laptops gefikst. Verder krijgen de laptops ondersteuning voor Secure Boot.

System76 schrijft in een blogpost dat het die bugfix heeft doorgevoerd met een firmware-update. In een eerdere versie van coreboot die op de laptops werd meegeleverd, werd de Intel Management Engine uitgeschakeld. Daarna bleek echter dat de Intel ME voor veel gebruikers weer werd ingeschakeld. Dat bleek door een bug in biosalternatief coreboot te komen. Die bug kon een buffer overflow veroorzaken waardoor Management Engine telkens weer opnieuw startte. System76 zegt dat nu te hebben gerepareerd, maar voor modellen met elfde generatie Tiger Lake U-cpu's van Intel werkt dat nog niet goed. De bugfix zou inmiddels ook in de upstream van coreboot zijn doorgevoerd.

In de firmware-update krijgt System76-hardware ook ondersteuning voor Secure Boot. Dat is nodig voor laptops waar Windows 11 op draait. De ondersteuning geldt ook voor huidige, dertiende generatie Intel-cpu's en System76 zegt dat ook voor toekomstige Intel-cpu's ondersteuning beschikbaar komt. Ook wil System76 werken aan ondersteuning voor Secure Boot-keys voor Pop!_OS, het eigen Linux-besturingssysteem van het bedrijf.

System76 zegt verder dat in de firmware-update de limiet voor het maximale vermogen voor Raptor Lake-cpu's naar 45W is gegaan, ten opzichte van 28W. Ook krijgen moderne laptops ondersteuning voor Nvidia's Dynamic Boost en zijn er security-updates toegevoegd aan het systeem.

Reacties (22)

Arroquw 2 juni 2023 22:06

Is altijd feest met die management engine als die het niet doet.

Overigens verbaast het me dat ze nu pas komen met secure boot support, dit bestaat al een tijdje voor coreboot met een uefi payload.

CAPSLOCK2000

Besturingssystemen

@Arroquw • 3 juni 2023 10:12

Overigens verbaast het me dat ze nu pas komen met secure boot support, dit bestaat al een tijdje voor coreboot met een uefi payload.

Ik geloof dat er niet heel veel mensen in hun doelgroep zijn die daar echt op zitten te wachten. Sterker nog, volgens mij is er onder de System76 klanten een groep die er juist niks mee te maken wil hebben. Al denk ik dat er ook een groep is die het juist wel wil, maar die lijkt mij niet zo groot.

Arroquw @CAPSLOCK2000 • 3 juni 2023 19:06

Er zijn altijd wel mensen die windows willen draaien, helaas. Jammer dat de rest hierdoor weer secure boot moeten gaan uitschakelen, tenzij ze hun bios niet upgraden/zelf bouwen.

Maar als je zelf bouwt kun je ook heel uefi eruit slopen en gewoon linuxboot erin doen, ik weet alleen niet wat voor bios options system 76 laptops hebben, dat is dan wel een limitatie.

oktoberpaard @Arroquw • 4 juni 2023 12:14

Ik zal misschien tot de minderheid behoren, maar ik gebruik secure boot juist ook graag op Linux en ben aan het wachten op goede Unified kernel support in mijn OS. Zodra dat er is kan ik mijn disk automatisch laten ontgrendelen door de TPM zolang de hele boot chain trusted is, wat voor mij een goede balans is tussen veiligheid en bruikbaarheid. Op dit moment is het nog te makkelijk om tijdens te boot kernel parameters aan te passen zonder de trusted chain te breken, dus nu is die balans er nog niet en typ ik zelf mijn wachtwoord in om te ontgrendelen. Ik ben me ervan bewust dat er nadelen en risico’s aan kleven, maar dat geldt voor alles en je moet zelf de balans opmaken.

Halfscherp @Arroquw • 4 juni 2023 22:15

Ondersteunt Linux ook niet gewoon Secure Boot?

Ik vind met Secure Boot eerlijk gezegd niet zoveel mis. Je kan het enorm makkelijk uitzetten, het enige wat het echt doet is je laten weten als er aan je boot chain is getampered.

Arroquw @Halfscherp • 6 juni 2023 22:55

Het is een beetje schijn security, zeker als je bedenkt dat je secure boot support halfbakken kan implementeren en je dat als klant niet zou weten - ik heb firmwares gezien die de secure boot keys gewoon hardcoden, je zou dus de binary kunnen pakken en die Keys vervangen met je eigen malicious keys en de binary terug zetten

Bulkzooi @Arroquw • 13 juni 2023 14:11

Intel ME is verantwoordelijk is voor het laden van je bios. Een BIOS die bv. je IME detecteert lijkt me een meer gewenste situatie.

Is altijd feest met die management engine als die het niet doet.

Overigens verbaast het me dat ze nu pas komen met secure boot support, dit bestaat al een tijdje voor coreboot met een uefi payload.

Nou, die UEFI werd ook niet overweldigend ontvangen in de Linux community.

TPM met grub en DOAS (eerder wellicht sudo voor sommigen) is nog steeds beter dan afhangen van Intel ME, zeker als je flexibiliteit wil qua file-systems en computertalen.

Je kan het e.e.a. ook niet los van elkaar zien, gezien de hardware extentions met veiligheidsoplossingen.

[Reactie gewijzigd door Bulkzooi op 24 juli 2024 18:37]

Kabouterplop01 3 juni 2023 10:13

Vreemd dat het niet een modulair dingetje is. BIOS met, of zonder IME. Lijkt me een nog veel betere fix.
ipv aan, of uit.

Arroquw @Kabouterplop01 • 3 juni 2023 19:04

Zonder ME werkt heel je intel platform niet, deze kun je normaliter alleen uit zetten als je systeem in "aan" modus zit. Dus als je pc power heeft maar niet aan staat draait ie gewoon nog. Tenzij je hem "crippled" hebt met me_cleaner maar zelfs dan moet er in iedergeval nog iets van draaien omdat de ME ook verantwoordelijk is voor het laden van je bios.

Kabouterplop01 @Arroquw • 4 juni 2023 12:07

Hmmm dat lijkt tegenstrijdig/pardoxiaal i.h.k.v het artikel, maar dat is vast omdat ik het dan niet helemaal snap.
Als je het uit zet (zoals het artikel beschrijft) dan kun je dus niet meer booten.
(In dit geval dan he, want de hele raptor lake bridge is intel en derhalve hoogstwaarschijnlijk de hele chipset)
Ik heb geen inhoud gelezen, dus heb geen kennis van de specs. Ik was voornamelijk geïnteresseerd door coreboot an sich, vanwege een platformpje wat ook met coreboot wordt gevoed en waar je een prima platformpje voor *sense firewalls mee kunt draaien. (https://eu.protectli.com/coreboot/)

Arroquw @Kabouterplop01 • 6 juni 2023 22:50

Een systeem heeft verschillende power states, G3- stekker zit er niet in
S5 - stekker zit er in maar je hebt niet op de power button gedrukt
S0 - je hebt op de power button gedrukt, deze state geldt vanaf het begin van de bios tot en met OS boot. Hij gaat dus terug naar S5 pas als je hem af sluit maar de stekker erin laat.

De ME moet altijd draaien in S5, de ME is namelijk de software van de chipset die dus ook de drivers voor de verschillende controllers in de chipset zorgt.

In S0 gaat het meer naar "backdoor"-achtige praktijken, dus access voor remote management, diagnostiek, error reporting etc. Er bestaat een setting die hem uit zet in S0, dus dan is het in principe een soort "opt out" voor de remote management.

Als je de ME volledig uit kon zetten dan kon je hem net zo goed eruit slopen, maar dan werkt je chipset dus niet

Kabouterplop01 @Arroquw • 7 juni 2023 11:16

thnx, much appreciated

Marctraider 2 juni 2023 21:57

Andere oplossing / router based solution: Alleen netwerkverkeer doorlaten met bepaalde tags (i.e. DSCP).

Windows kan daar ook mee overweg.

i.e. binnen mijn netwerk gaan er geen uitgaande verbindingen vanuit windows of elk ander OS zonder de juiste tags toe te passen aan TCP/UDP pakketjes.

Via OpenWRT regel ik dus dat alles behalve de juiste tag pakketjes doorgelaten wordt. So much for IME :-)

ari3 @Marctraider • 2 juni 2023 22:47

Mwah, DSCP tags zijn gewoon numerieke waarden met een beperkt bereik. De IME zou gewoon alle mogelijke waarden binnen het bereik kunnen proberen totdat een waarde gevonden wordt waarmee de NSA Intel servers bereikt worden.

merethan @ari3 • 3 juni 2023 10:15

Conspiracy theorist!!

Marctraider @ari3 • 3 juni 2023 19:07

Proof?

tweakorinho 2 juni 2023 20:57

Ben je al zo'n gebruiker die geeft om Coreboot en het uitschakelen van IME en dan floept ie gewoon weer aan.

Arroquw @tweakorinho • 3 juni 2023 19:08

Hij staat sowieso aan als je systeem niet aan staat, dit geldt alleen voor wanneer je systeem in S0 zit.

Picaro 2 juni 2023 21:06

Haha, mooi staaltje visserslatijn

Bulkzooi 2 juni 2023 21:34

Haha, mooi staaltje visserslatijn

Whaha..@Picaro

Heb je die ChromeBox conversie scripts weleens bekeken? Ik had hem maar gedraaid, maar met mijn ogen dicht en 'op hoop van zegen'. $_/-\o_$

The Kodi E-Z Setup Script was developed in order to simplify the setup/installation of Kodi on the Haswell and Broadwell -based Asus/HP/Acer/Dell ChromeBoxes (with Celeron 2955U/2957U, Celeron 3205U, Core i3-4010U/4030U, Core i3-5010U, Core i7-4600U, Core i7-5500U CPUs). Recently, support has been added for Haswell/Broadwell/BayTrail Chromebooks as well

betreft boot-modes

https://forum.kodi.tv/showthread.php?tid=194362

[Reactie gewijzigd door Bulkzooi op 24 juli 2024 18:37]

Picaro @Bulkzooi • 2 juni 2023 22:06

Sta ik nou even met een mond vol tanden, boing

Bulkzooi 13 juni 2023 14:43

Interessante blogpost!

Windows 11 requires Secure Boot to install without tweaks. To support this, we’ve added a new firmware setup menu for enabling and disabling Secure Boot. This menu also allows for entering setup mode for custom key enrollment.

Secure Boot and TPM2 support is now available in System76 Open Firmware on laptops with 13th Gen Intel CPUs.

Work is being done in Pop!_OS to enable the use of custom Secure Boot keys, in addition to adding TPM2-TOTP authentication of the firmware boot path.

En als ik het goed begrijp hebben ze hun eigen Window Manager, Cosmic, en draaien ze deze Rust oplossing op qemu, die een vga-rom op start.

Ik verwacht dat system76 dat TPM2.0 verhaal met HP (en Microsoft ivm Windows 11) heeft opgepakt.

Het keerpunt voor ons was eigenlijk toen Ubuntu van de Unity Desktop terug ging naar Gnome. Ze hadden het erg moeilijk met de 17.04-release; het was behoorlijk hobbelig.

aldus Jeremy Soller, principalengineer bij System76, aangaande het afscheid van Ubuntu. Hij refereert hiermee naar Mark Shuttleworth, Founder of Ubuntu and Canonical, april 2017.
https://canonical.com/blo...han-phone-and-convergence

Cosmic staat ook toe om Gnome meta-packages te installeren, zoals regalith desktop (handig voor mensen die aan tiling gewend zijn, zoals i3-users)
https://www.google.com/am...-desktop-2-0-released/amp

[Reactie gewijzigd door Bulkzooi op 24 juli 2024 18:37]

Op dit item kan niet meer gereageerd worden.

System76 past coreboot aan zodat Intel Management Engine weer uit kan staan

Lees meer

Gebruiksvriendelijk en ultra-aanpasbaar

'Er is een ethos voor elke Linux-distro'

De bewogen geschiedenis van coreboot

Reacties (22)

Sorteer op:

Weergave: