AMD entfernt Speicher-Verschlüsselung stillschweigend aus Ryzen-CPUs für Verbraucher

 (tomshardware.com)
1 Punkte von GN⁺ 4 시간 전 | 1 Kommentare | Auf WhatsApp teilen
  • Bei Ryzen-CPUs für Verbraucher ist die Unterstützung für Transparent Secure Memory Encryption (TSME) nach neuerer AGESA-Firmware verschwunden, wodurch Nutzer Änderungen beim Schutz durch Speicher-Verschlüsselung nur schwer bemerken können
  • TSME verschlüsselt den gesamten RAM ohne Eingriff des Betriebssystems und schützt so vor physischen Angriffen wie Cold-Boot-Exploits, Snooping an der DRAM-Schnittstelle und dem Entfernen von Speichermodulen
  • Untersuchungen auf GitHub von Ben Kilpatrick und Kontrolltests von MSI zeigten, dass Ryzen-Chips für Verbraucher TSME mit älterer Firmware aktivierten, unter AGESA 1.2.7.0 jedoch als „not supported“ angezeigt werden
  • AMD antwortete, TSME sei „eine Sicherheitsfunktion als Teil von AMD PRO Technologies, die nur für PRO-CPUs gilt“, und ein AMD-Ingenieur erklärte auf weitere Fragen, es gebe keine weiteren Informationen, die man teilen könne
  • Nutzer, die physische Zugriffsangriffe befürchten, müssen sich für Ryzen Pro- oder EPYC-Systeme entscheiden, sofern AMD den Supportumfang nicht klarstellt oder die Funktion wiederherstellt

TSME aus Ryzen für Verbraucher verschwunden

  • AMD hat die Unterstützung für Transparent Secure Memory Encryption (TSME) stillschweigend aus Ryzen-CPUs für Verbraucher entfernt, wodurch einige Nutzer anfälliger für physische Angriffe werden könnten
  • TSME ist eine Funktion zum Schutz vor physischen Angriffen, bei denen Daten aus angebundenen Speicherchips ausgelesen werden
  • AMD führte die Funktion zunächst in höherwertigen CPUs ein und weitete sie dann auf Verbraucher-CPUs aus; Nutzer dieser Chips betrachteten TSME als Teil des Chip-Pakets
  • Die Änderung trat nach neuerer AGESA-Firmware auf

Kilpatricks Entdeckung und Verifizierung

  • Ben Kilpatrick bezeichnet sich als privacy-conscious Linux hobbyist und führte beim Installieren eines neuen Betriebssystems auf einem Ryzen 7 9700X-System mit Zen-5-Architektur die Host Security ID (HSI) aus
  • HSI ist eine Audit-Funktion zur Bewertung der Sicherheitskonfiguration von Firmware und Hardware eines Systems
  • In den BIOS-Einstellungen war TSME weiterhin aktiviert, HSI meldete jedoch, dass TSME nicht mehr unterstützt werde
  • Kilpatrick wandte sich zunächst an den Mainboard-Hersteller MSI, erhielt aber keine klare Erklärung und reichte anschließend einen Fehlerbericht im öffentlichen Engineering-GitHub-Repository von AMD ein

Verändertes Verhalten in AGESA 1.2.7.0

  • AMDs Tom Lendacky und Mario Limonciello antworteten auf GitHub, konnten aber nicht klar erklären, warum die Funktion verschwunden ist
  • Die AMD-Ingenieure rieten dazu, die Option im BIOS aus- und wieder einzuschalten und, falls das nichts bringe, das Thema mit dem Mainboard-Hersteller zu besprechen
  • Nachdem Kilpatrick bei MSI stärker nachgehakt hatte, führten MSI-Ingenieure Kontrolltests durch
    • Ryzen-Chips für Verbraucher aktivieren TSME mit älterer Firmware
    • Unter AGESA 1.2.7.0 wird „not supported“ angezeigt
    • Pro-Versionen der CPU unterstützen TSME unabhängig von Firmware oder Mainboard
  • Ein interner AGESA-Flag, der die TSME-Aktivierung beim Booten steuert, lieferte bei Verbraucher-Chips unabhängig von der BIOS-Einstellung FALSE zurück und bei Pro-Prozessoren TRUE, wenn die Funktion aktiviert war

AMDs Position und offene Fragen

  • AMDs einzige offizielle Reaktion war eine E-Mail-Antwort, wonach TSME „eine Sicherheitsfunktion als Teil von AMD PRO Technologies ist, die nur für PRO-CPUs gilt“
  • Diese Antwort ist die erste öffentlich bekannte Einschränkung dieser Art, nachdem die Funktion über Jahre hinweg auf Verbraucher-Chips funktioniert hatte
  • Es ist unklar, ob das Verschwinden von TSME auf eine bewusste politische Entscheidung von AMD zurückgeht, die Funktion nur auf Pro-Chips zu belassen, oder auf eine unbeabsichtigte Regression in AGESA 1.2.7.0
  • Kilpatrick leitete die MSI-Testergebnisse erneut an die AMD-Ingenieure weiter und nahm die Diskussion sechs Wochen später wieder auf
  • Laut Kilpatrick bekam das Produktmarketing-Team von MSI direkt von AMD die Auskunft, dass TSME exklusiv nur für Prozessoren der Pro-Serie unterstützt werde
  • Auf die Frage, ob der auf FALSE gesetzte Flag bei Verbraucher-Chips auf eine Beschränkung auf Siliziumebene oder eine Firmware-Policy zurückzuführen sei, antwortete Limonciello, er habe „zu diesem Thema keine weiteren Informationen zu teilen“

Unterschied zwischen TSME und SME

  • Es gibt keine klaren Hinweise darauf, dass AMD TSME jemals ausdrücklich als Funktion von Ryzen für Verbraucher beworben hat
  • AMD weist seit Langem darauf hin, dass die verwandte Speicherschutzfunktion Secure Memory Encryption (SME) nur in den CPU-Klassen Pro und EPYC angeboten wird
  • SME wird vom Betriebssystem verwaltet, verwendet einen einzelnen Schlüssel und erlaubt es dem OS, einzelne Speicherseiten selektiv zu verschlüsseln
  • TSME wird von der Firmware verwaltet und verschlüsselt den gesamten RAM ohne Eingriff des Betriebssystems
  • Wird TSME im BIOS aktiviert, arbeitet es ohne zusätzliche OS-Konfiguration und schützt vor physischen Angriffen wie Cold-Boot-Exploits, Snooping an der DRAM-Schnittstelle und dem Entfernen von Speichermodulen

Auswirkungen auf Nutzer

  • Das Entfernen der Funktion ist auf Windows-Systemen schwer zu erkennen und erfordert selbst unter Linux erheblichen technischen Aufwand zur Überprüfung
  • Für die meisten Nutzer von Ryzen-CPUs für Verbraucher sind die praktischen Auswirkungen begrenzt
  • TSME schützt vor Szenarien, in denen jemand physischen Zugriff auf das Gerät oder die Speicherhardware hat und direkt Geheimnisse aus dem RAM extrahieren will
  • Auf sensiblen Laptops unterwegs, bei vertraulichen Arbeiten, bei Abhängigkeit von vollständiger Laufwerksverschlüsselung oder in Umgebungen, in denen Beschlagnahmung, Diebstahl oder Hardware-Manipulation realistische Risiken sind, ist TSME wichtiger
  • Sofern AMD die Situation nicht klarstellt oder den Support wiederherstellt, benötigen Nutzer, die auf AMD-Hardware tatsächlich Speicher-Verschlüsselung brauchen, ein Ryzen Pro- oder EPYC-System

Verwandte Beiträge

1 Kommentare

 
GN⁺ 4 시간 전
Hacker-News-Kommentare

  • Das wurde nie als Feature der Consumer-CPUs vermarktet, und wenn jemand böswillig physischen Zugriff auf meine Consumer-Hardware hat, dann steht das Einfrieren des RAM auf kryogene Temperaturen, um Bytes auszulesen, nicht besonders weit oben auf meiner Sorgenliste

    • Das ist nicht nur für Angriffe mit kryogenen Temperaturen gedacht, sondern hilft auch bei der Abwehr von Rowhammer und Problemen rund um DRAM-Refresh
      Durch das Scrambling kennen Host-Kernel oder Anwendungen die tatsächliche physische Bit-Anordnung auf dem Chip nicht, wodurch es schwieriger wird, das Layout zu ermitteln, um bestimmte Bits gezielt umzudrehen. Es mag immer noch möglich sein, ist aber eine weitere Verteidigungsschicht gegen speicherbezogene Sicherheitsprobleme
    • Das erinnert mich an die Seinfeld-Folge, in der George die Frogger-Arcade-Maschine bewegen wollte, ohne sie auszuschalten, damit er seinen Highscore nicht verliert
      https://youtu.be/5etwHVarNgI?t=256
    • Es gibt auch bei Produkten, die ich kaufe, etliche Features, die nie „vermarktet“ wurden, und wenn solche Funktionen plötzlich entfernt werden, macht mich das trotzdem wütend
    • Wenn man sich das alte ABL-Änderungsprotokoll ansieht, scheint diese Richtlinienentscheidung, also nur Unterstützung für PRO-SKUs, ursprünglich schon in der Firmware umgesetzt worden zu sein
      https://github.com/amd/firmware_binaries/blob/main/cezanne/P...
      Für mich sieht es eher so aus, als wäre das von Anfang an eine Funktion gewesen, die auf diesen Consumer-Teilen gar nicht hätte aktiviert sein sollen
    • Trotzdem wäre transparente Kommunikation nötig gewesen. Die Gegenseite sind nicht nur Anwälte, sondern auch Kunden, und es geht nicht nur darum, ob man rechtlich damit durchkommt

  • Beitrag von gestern: „Users cry foul after AMD stripped memory crypto from its consumer CPUs“, https://arstechnica.com/security/2026/06/users-cry-foul-afte...
    (https://news.ycombinator.com/item?id=48559827)

  • Es ist ziemlich seltsam, dass es ganze Feature-Gruppen gibt, bei denen Unternehmen normalen Nutzern Funktionen künstlich beschneiden und die Preise ohne echten Grund aufblähen. GPU-Virtualisierung ist ein weiteres Beispiel dafür
    Auch die Logik der Marktsegmentierung passt nicht so recht. Unternehmen zahlen viel Geld für einige wenige exklusive Funktionen wie diese

    • Das erinnert an die beheizten Sitze im Abo von BMW. Die Hardware ist bereits verbaut und man hat Zehntausende Dollar für das Auto bezahlt, aber nutzen darf man sie nur, wenn man dem Autohersteller eine zusätzliche Einnahmequelle verschafft
    • Eine bestimmte Variante dieses Konzepts finde ich okay. Technisch ist die Funktion in allen SKUs vorhanden, muss aber per Zusatzkauf freigeschaltet werden
      Abos hasse ich allerdings. Wenn eine Funktion laufende Kosten verursacht, mag es Ausnahmen geben, aber bei einer einmaligen Freischaltung sollte es kein Abo sein. Dass die Funktion in allen Versionen enthalten ist und per Kauf freigeschaltet wird, kann unter den richtigen Bedingungen für Verbraucher sogar vorteilhaft sein und niedrigere Produktpreise ermöglichen
      So profitieren diejenigen, die zahlen wollen, und diejenigen, die nicht sofort zahlen wollen, behalten die Möglichkeit, später für einen kleinen Betrag ihre Meinung zu ändern, während das Unternehmen etwas mehr Gewinn machen kann
      Dafür braucht es aber Bedingungen. Keine Abos für einmalige Freischaltungen, und Kunden sollten legal und geschützt selbst Wege finden dürfen, die Sperre auch ohne Kauf zu entfernen
      Über Fälle, in denen die Funktion existiert, aber zu keinem Preis freigeschaltet werden kann, müsste man noch gesondert nachdenken, aber dass Kunden sie selbst öffnen dürfen, sollte rechtlich klar geschützt sein
    • Ich glaube, Intel wollte GPU-Virtualisierung auch für Consumer-Produkte anbieten, aber ich weiß nicht, was daraus geworden ist

  • Ich hatte diese Funktion aktiviert, weil sie Schutz gegen RAMbleed und ECC-Fehler bietet, daher ist sie nicht nur auf physische Angriffe beschränkt

    • Bist du sicher? Ich dachte, es sei nur AES ohne Authentifizierung

  • Ich weiß nicht, wie genau das funktioniert, aber heißt das, dass jemand mit physischem Zugriff auf einen laufenden, gesperrten Computer auf das gesamte verschlüsselte Laufwerk und alles, was darauf gespeichert ist, zugreifen kann?
    Der Gedankengang ist, dass der beim Booten eingegebene Entschlüsselungsschlüssel während dieser Boot-Sitzung im Speicher liegen dürfte
    Falls das stimmt, wäre das ziemlich überraschend. Es würde bedeuten, dass jede Form von Laufwerksverschlüsselung umgangen werden kann, wenn jemand einbricht und der Computer eingeschaltet und gesperrt ist. Auch auf Consumer-Hardware kann man guten Grund haben, Laufwerksverschlüsselung zu wollen

    • Physischer Zugriff auf einen Computer ist fast immer der schnellste und einfachste Weg, ihn zu kompromittieren. Außerdem sind BitLocker unter Windows und dm-crypt unter Linux Verschlüsselung für ruhende Daten
      Sie sind nicht dafür gedacht, die Sicherheit nach dem Booten des Systems zu gewährleisten. Im laufenden Betrieb sind MAC und Benutzerpasswörter die passenden Verteidigungsmechanismen
    • Mit Flüssigstickstoff und einer Boot-Disk für Memory-Dumps oder Ausrüstung zum Abgreifen des Speicherbusses ist das möglich
    • Auf allen Mainboards, die ich gesehen habe, war diese Funktion standardmäßig deaktiviert
      Meiner Erfahrung nach hat sie viele Stabilitätsprobleme mit VFIO, NVIDIA-Treibern, amdgpu und Ähnlichem verursacht
      Der Angriff selbst ist ebenfalls aufwendig. Normale Leute müssen sich fast nie um teure Kryo-Angriffe sorgen, und ein Drei-Buchstaben-Dienst würde den Schlüssel eher mit einem Schraubenschlüssel aus dir herausbekommen
      Das heißt nicht, dass diese Änderung gut ist. Sie untergräbt nur noch weiter das bereits beschädigte Vertrauen, aber dass durchschnittliche Nutzer direkt betroffen sind, ist extrem unwahrscheinlich
      Es gibt viele billigere und einfachere Wege, jemanden zur Herausgabe des Schlüssels zu bringen

  • Wenn das stillschweigend entfernt werden konnte, war es dann wirklich ein Sicherheitsfeature?
    Ich hasse es, wenn Unternehmen für Marktsegmentierung Ingenieure dafür bezahlen, ihre Produkte absichtlich schlechter zu machen, aber außerhalb von Rechenzentren wirkt dieses Feature nicht besonders wichtig. Wenn eine evil maid physischen Hardwarezugriff hat, würde sie dann nicht eher USB oder PCI angreifen statt den RAM?

    • In einer Firmware-Revision heimlich Funktionen zu entfernen, ist unabhängig davon, ob es um Sicherheit geht oder nicht, nicht akzeptabel
    • Um das zu entfernen, brauchte man AMDs Firmware-Code-Signing-Schlüssel. Wenn ein Angreifer den hat und Zeit mitbringt, sind noch viel schlimmere Dinge möglich

  • Wenn ich mich richtig erinnere, hat AMD dieses Feature für diese CPUs nie beworben, und es war auch nicht stabil
    Der womöglich einzige Fehler von AMD war, nicht transparent zu erklären, warum es deaktiviert wurde

  • Ehrlich gesagt hat diese Funktion selten wirklich gut funktioniert. Vor allem mit VFIO, NVIDIA-Treibern und amdgpu gab es viele Probleme wie Hänger

  • Genau wegen solcher Spielchen ist Wettbewerb im CPU-Markt wichtig

    • Genau deshalb wird Wettbewerb im CPU-Markt auch nicht zugelassen
      Wir hätten wohl alle zu Hause kleine 300-nm-ICs brennen können, ungefähr zum Preis eines Blu-ray-Brenners und einer Dunkelkammerausrüstung. Die Grenzen von Silizium kommen nicht von fehlender Hardware, sondern von fehlender Freiheit
    • Ich finde, wir leben gerade in einer Zeit mit wirklich vielen CPU-Optionen

  • Wenn dadurch CPUs wenigstens auch nur ein bisschen billiger würden, wäre das in Ordnung, aber wir wissen alle, dass das nicht passieren wird
    Jetzt heißt es außerdem, selbst sogenannte AI-Unternehmen würden wegen „persönlicher agentischer Agenten“ mehr CPUs nutzen, und ich hoffe, dass normale Menschen beim CPU-Preis nicht noch weiter verdrängt werden