يمكن اختراق عملية التمهيد لأي جهاز كمبيوتر إذا لم تكن هناك إجراءات أمنية لحمايته. AMDالتمهيد الآمن للنظام الأساسي أو PSB هي إحدى الآليات التي تضمن النزاهة في هذا الصدد ، ولكن يمكن أيضًا إساءة استخدامها من قبل الشركات المصنعة لربطك بأجهزة معينة.
من المربح لمصنعي أجهزة الكمبيوتر بيع جهاز كمبيوتر بالكامل بدلاً من تحديثه بأجزاء من ماركات مختلفة ، وهذه حقيقة لا يمكن إنكارها وهذا هو السبب في أن معظم أجهزة الكمبيوتر المبنية مسبقًا تحمل قيودًا اصطناعية بحيث تكون مرتبطًا بعلامة تجارية معينة.
إذا أضفنا إلى ذلك أن AMD لسنوات عديدة كانت البطة القبيحة لمختلف مصنعي أجهزة الكمبيوتر وكان عليها أن تكافح بشدة لجعل بعض العلامات التجارية الكبرى تستخدم وحدات المعالجة المركزية الخاصة بها وتلك الخاصة بها إنتل. لذلك ، من الواضح أنه كان عليهم القيام ببعض التنازلات من أجل تحقيق مصالح شركائهم. واحد من أكثر الأشياء إثارة للجدل هو التمهيد الآمن للنظام الأساسي أو PSB ، والتي خدمت الشركات المصنعة مثل Dell أو Lenovo لربط وحدات المعالجة المركزية Ryzen و Threadripper و EPYC التابعة للشركة بقيادة Lisa Su بأجهزتهم حصريًا.
كيف ترتبط مصلحة الشركات المصنعة في ربطك بمنصتهم بنظام حماية التمهيد من AMD؟ حسنًا ، دعنا نشرحها لك.
ما هو AMD PSB؟
يتم تخزين BIOS UEFI في ذاكرة فلاش على ملف اللوحة الأم، حيث أنها غير متطايرة رامات تتم معالجته كما لو كان جزءًا من الذاكرة الرئيسية. هناك أوقات حتى مع جميع تدابير الحماية ، لا يزال بإمكان البرامج الضارة إدخال رمز في البرنامج الثابت وإجراء تحديث غير مصرح به. دعونا لا ننسى أن عملية التمهيد تحدد موقع بعض المفاتيح العامة والخاصة ، المستخدمة فقط بواسطة معالج الأمان.
هذا يعني أنه إذا لم نستخدم وحدة TPM في جهاز الكمبيوتر الخاص بنا مع معالج AMD ، فسيتم تخزين معلوماتنا السرية مثل تلك المتعلقة بشهادات التحقق من الصحة التي نستخدمها للتفاعل مع مصرفنا عبر إف تي بي إم الموجود في البرنامج الثابت للتمهيد ، لذلك ، يجب إضافة إجراءات أمان إضافية لحمايته.
يعد AMD Platform Secure Boot أو PSB أحد إجراءات الأمان المضمنة في معالج الأمان داخل وحدات المعالجة المركزية AMD. فائدته ليست سوى منع تنفيذ البرامج الثابتة المتعلقة بعملية التمهيد التي تم تعديلها لأغراض ضارة. للقيام بذلك ، فإنه ينشئ سلسلة ثقة تكون مسؤولة عن مصادقة جميع البرامج الثابتة التي يمتلكها وحدة المعالجة المركزية: يصل عند بدء تشغيل الكمبيوتر ، بما في ذلك BIOS وبدء تشغيل نظام التشغيل.
كيف تعمل؟
يضيف PSB مستوى أمان أعلى مما يمكن أن يوفره UEFI BIOS نفسه ، لأنه يتحقق من صحة محتويات الذاكرة التي تحتوي على كل شيء في برنامج التمهيد. يقوم بذلك من خلال سلسلة ثقة يتم تنفيذها فقط من خلال الأجهزة وبدون أي برامج خارجية قبل تنفيذ عملية بدء التشغيل بأكملها.
- يقوم بالتحقق من صحة الكتلة الأولى من BIOS / UEFI ، أثناء القيام بذلك ، يرسل إشارة إلى دبوس HOLD الخاص بوحدة المعالجة المركزية بحيث لا يبدأ أثناء إجراء التحقق.
- وهي مسؤولة عن التحقق من محتوى ذاكرة القراءة فقط للنظام ، وتحتوي هذه الذاكرة على نسخة احتياطية من الوظائف الأساسية لنظام BIOS وتحتوي على عملية التمهيد بأكملها بطريقة غير قابلة للتغيير. لاحظ أن تحديثات ميزات BIOS الجديدة لا تتعلق بتمهيد النظام.
- يقوم معالج الأمان بإجراء المقارنة بين محتويات ROM والبرامج الثابتة المخزنة بواسطة UEFI للتحقق من أي تغييرات غير مصرح بها. بعد القيام بذلك ، يقوم بتحرير وحدة المعالجة المركزية بحيث يمكن تمهيد الكمبيوتر دون مشاكل.
AMD حماية المعالج أو معالج أمان النظام الأساسي عبارة عن متحكم صغير يتمتع بأعلى مستوى من الامتياز للوصول إلى ذاكرة الوصول العشوائي والأجهزة الطرفية للنظام. تم تصنيفها على ARM Cortex-A5 وبسبب استهلاكه المنخفض للطاقة يمكنه العمل مع الكمبيوتر في وضع السكون أو الاستعداد. لذلك سيكون أول معالج يتم وضعه على العلامة عند تشغيل جهاز الكمبيوتر الخاص بنا أو إخراجه من أحد أوضاع الاستهلاك المنخفض.
كيف تسيء الشركات المصنعة استخدام AMD PSB؟
في الآونة الأخيرة ، لا نرى فقط كيف توجد حركات نحو التكامل ، ولكن أيضًا في خضم هذه العملية ، يتم الهجوم على إحدى القواعد التي حددت الكمبيوتر الشخصي منذ بدايته: القدرة على التوسيع والتكوين من قبل المستخدم. توصلت معظم الشركات المصنعة إلى استنتاج خطير مفاده أن حقيقة أنه يمكننا توسيع قدرات أجهزة الكمبيوتر لدينا تؤثر على شراء المنتجات المستقبلية. ومن ثم ، فقد ظهر الجدل حول الحق في الإصلاح في مواجهة ممارسات مختلف المجمعين ومصنعي الأجهزة.
منطقيا ، يتوقع المرء أن يؤثر هذا على السوق الاستهلاكية فقط. لذا فإن الخوادم ومراكز البيانات المستخدمة من قبل مختلف الهيئات العامة والشركات الكبيرة والتي من الناحية النظرية لا ينبغي أن تتأثر بها. ومع ذلك ، قررت AMD إنشاء برنامج يسمى PSB بحيث يمكن للمصنعين والمجمعين بيع خوادمهم بالكامل وليس قطع الغيار. ما السبب وراء ذلك؟ هناك سوق للأغراض المستعملة حيث تُستخدم معالجات EPYC التي تم تجريدها بالفعل من خوادمها للخوادم المستعملة ومراكز البيانات.
بمعنى آخر ، عندما تتجاهل شركة ما خادمها القديم أو مركز بياناتها ، فإنها لا تتخلص منها ، ولكنها تبيع أجزائها لاسترداد جزء من الاستثمار. هذا يخلق منافسة إضافية للشركات المصنعة للخوادم. نظرًا لأنهم قد يجدون أنه أكثر جاذبية لعملائهم لبناء خادم بأنفسهم وصيانته بأنفسهم ، فإن هذا يسيء إلى إحدى ميزات أمان AMD EPYC لقفل العملاء في علامة تجارية معينة.
كيف يصنعون القفل؟
من أجل جعل وحدة المعالجة المركزية لخادم AMD EPYC تعمل فقط مع نموذج محدد من اللوحة الأم وسوق الخوادم المستعملة ، يسيء المصنعون استخدام عملية شهادة التمهيد المقدمة من PSB لربط المعالجات بخوادمهم المحددة ، مما يعني أنه لا يمكننا الاقتران معالجات معينة باستثناء لوحات خادم معينة.
لفهم العملية برمتها ، يجب أن نبدأ من حقيقة أنه عندما تنتهي الشركة المصنعة من إنشاء جهاز الكمبيوتر ، مهما كان نوعه ، يتم تنفيذ عملية يتم فيها إنشاء صورة التمهيد المخزنة في ذاكرة القراءة فقط والتي ستتضمن مفتاحين مرتبطين ، بحجم 4096 بت و تشفير SHA-384 . سيتم تخزين أول واحد في ذاكرة القراءة فقط للنظام وسينعكس في البرنامج الثابت للتمهيد. الثاني ، من ناحية أخرى ، سيفعل ذلك داخل HSM ، وهو جهاز مسؤول عن إنشاء مفاتيح مشفرة وفك تشفيرها أيضًا.
يعد كلا المفتاحين جزءًا من البنية التحتية للمفتاح العام ويتم استخدامهما لتوقيع محتوى الشهادة الموجودة في ROM التمهيد على اللوحة الأم والتي تتضمن رمز تعريف المعالج وبقية عناصر الأجهزة. إذا كان أحد هذه العناصر مفقودًا من النظام ، فلن يسمح PSB ببساطة للنظام بالتمهيد.
