AMD 將在 7 月透過 BIOS 更新,恢復 Ryzen 9000 處理器的記憶體加密功能 (★ 104 分)
AMD 向 Tom’s Hardware 證實,將在 7 月透過 BIOS(Basic Input/Output System,主機板韌體介面)更新,讓部分非 PRO Ryzen 9000 桌上型處理器重新提供 Memory Guard,也就是 Transparent Secure Memory Encryption(TSME,透明安全記憶體加密)的啟用選項。這項功能原本是 Ryzen PRO 產品線的安全賣點,但部分非 PRO 消費級晶片也曾可用;AMD 先前在 AGESA 1.2.7.0(AMD Generic Encapsulated Software Architecture,AMD 平台初始化韌體套件)中悄悄移除,後來在社群追問後表示,將依使用者回饋恢復。
TSME 是韌體層級的記憶體加密機制,處理器會產生金鑰,替存放在 RAM(隨機存取記憶體)中的資料加密,主要用來降低冷開機攻擊(cold boot attack;攻擊者在設備突然斷電後讀取殘留記憶體內容)的風險。Ars Technica 作者 Ben Kilpatrick 在 Ryzen 7 9700X 新機安全稽核時發現 TSME 不再可用,並與主機板廠 MSI 確認舊版韌體曾提供此功能,後來是在 AGESA 1.2.7.0 被停用。AMD 工程師在 GitHub 回報中一度未提供進一步說明,使外界推測這可能是為了區隔 Ryzen PRO 與一般 Ryzen 的市場定位。
AMD 在聲明中強調,Memory Guard 是 Ryzen PRO 桌上型與行動處理器在晶片支援時提供的硬體式記憶體加密技術,屬於基礎安全功能,未來也不會從 Ryzen PRO 產品線移除。至於部分非 PRO Ryzen 9000 桌上型處理器,AMD 承認先前 BIOS 曾有啟用 Memory Guard 的選項,近期更新中被移除,並將在 7 月的 BIOS 版本中恢復。文章也指出,TSME 對多數家用桌機未必是最迫切的防線,因為攻擊者通常需要實體接觸機器;但若硬體原本具備該能力,透過韌體更新移除仍難以令人接受。
後續討論的重點多半不在「有多少人真的使用 TSME」,而在硬體售出後不應被韌體更新倒退功能。多位留言者認為,CPU 韌體更新理應用於安全修補與效能改善,若廠商開始用它移除既有功能,會讓使用者傾向不更新韌體,反而造成更大的安全風險。也有人批評這像是為了保護 PRO 產品線而做的市場分級,與 AMD 過去相對願意讓一般使用者取得進階功能的形象不符;另有人拿 Intel 曾在 Alder Lake 上停用 AVX-512(進階向量擴充指令集)相提並論,指出兩大處理器廠都有透過產品分級限制功能的紀錄。
也有留言提醒,TSME 可能造成約 0.5% 到 1% 的記憶體速度影響,因此合理作法應是 BIOS 預設關閉,但保留讓需要者自行啟用的選項。關於威脅模型,部分人認為一般桌機遭遇冷開機攻擊的機率不高;反方則指出,桌機與筆電多半不在資料中心,失竊或短暫被他人接觸並非不可能。技術討論也延伸到 DMA(Direct Memory Access,直接記憶體存取)與 PCIe(Peripheral Component Interconnect Express,高速周邊互連匯流排)設備如何與記憶體加密共存;回覆指出若加解密在記憶體控制器完成,存取來源通常不是問題,而更複雜的可信 I/O 情境則可能涉及 IOMMU(Input-Output Memory Management Unit,輸入輸出記憶體管理單元)或 TDISP/IDE(可信設備安全協定與完整性資料加密)等伺服器級機制。
👥 28 則討論、評論 💬
https://news.ycombinator.com/item?id=48612098