AMD odstranil pomembno varnostno funkcijo iz procesorjev Ryzen

Tehnologija Transparent Secure Memory Encryption (TSME) je strojna zaščita, ki deluje na ravni strojne programske opreme in samodejno šifrira celoten sistemski pomnilnik. Njena glavna naloga je varovanje podatkov pred fizičnimi napadi, kot so napadi s hladnim zagonom, prestrezanje signalov na pomnilniškem vmesniku ali fizična odstranitev pomnilniškega modula z namenom branja na drugi napravi. To varnostno plast so znotraj svojih osebnih računalnikov pogosto uporabljali predvsem tisti, ki upravljajo s kriptografskimi ključi ali strojnimi denarnicami za kriptovalute. Čeprav so ti čipi varno zapečateni, operacijski sistem med podpisovanjem transakcij obdeluje podatke v pomnilniku, nešifriran sistemski pomnilnik pa pomeni večje tveganje za napad.

Zgodba se je začela razpletati aprila, ko je navdušenec nad tehnologijo Linux Ben Kilpatrick z namenskim revizijskim orodjem preveril varnost svojega novega procesorja Ryzen 7 9700X, zasnovanega na arhitekturi Zen 5. Kljub temu da je imel v nastavitvah BIOS-a funkcijo TSME ves čas vklopljeno, je sistem javil, da šifriranje pomnilnika ni podprto. Kilpatrick je po več mesecih poizvedovanja prepričal inženirje podjetja MSI, da so opravili nadzorovane teste.

Ugotovitve so potrdile, da funkcija TSME na matičnih ploščah MSI in Gigabyte deluje le pri starejših različicah strojne programske opreme AGESA. Z nadgradnjo na novejšo različico 1.2.7.0 pa je funkcija na potrošniških čipih prenehala delovati. Ekipa je opravila primerjalni test na Asusovi plošči X870E, kjer so soočili običajni Ryzen 9 9800X3D in poslovni Ryzen PRO 9945. Rezultati sistemskih izpiskov so pokazali, da interna programska zastavica z imenom DfIsTsmeEnabled pri potrošniškem modelu vrne vrednost FALSE (izklopljeno), ne glede na nastavitve v BIOS-u, medtem ko pri seriji PRO ostaja TRUE (vklopljeno).

Predstavniki podjetja MSI so kasneje Kilpatricku uradno sporočili, da jih je AMD obvestil, da je funkcija TSME po novem ekskluzivno podprta le na procesorjih serije PRO, kjer to zaščito tržijo pod imenom Memory Guard. Ko so inženirje AMD na portalu GitHub soočili z vprašanjem, ali gre za omejitev ali namerno poslovno odločitev znotraj kode AGESA, so se pogovori hitro zaključili brez pojasnil.