Opstartsprocessen på enhver computer kan blive kompromitteret, hvis der ikke er nogen sikkerhedsforanstaltninger til at beskytte den. AMD's Platform Secure Boot eller PSB er en af de mekanismer, der garanterer integritet i denne henseende, men den kan også misbruges af producenter til at binde dig til specifik hardware.
Det er meget mere rentabelt for computerproducenter at sælge en hel computer end at opdatere den med dele fra forskellige mærker, det er en ubestridelig kendsgerning, og det er derfor, de fleste færdigbyggede computere har kunstige begrænsninger, så du er bundet til et specifikt mærke.
Hvis vi tilføjer, at AMD i mange år har været den grimme ælling for de forskellige computerproducenter og har måttet kæmpe hårdt for at få visse store mærker til at bruge deres CPU'er og de Intel. Så det er klart, at de har været nødt til at lave en opgave for at varetage deres partneres interesser. En af de mest kontroversielle er Platform Secure Boot eller PSB , som har tjent producenter som Dell eller Lenovo at binde Ryzen, Threadripper og EPYC CPU'erne i virksomheden ledet af Lisa Su udelukkende til deres hardware.
Hvordan hænger producenternes interesse i at binde dig til deres platform sammen med AMDs boot-beskyttelsessystem? Nå, lad os forklare det for dig.
Hvad er AMD PSB?
I BIOS er UEFI gemt i flashhukommelsen på bundkort, hvilket da det er ikke-flygtigt RAM adresseres, som om det var en del af hovedhukommelsen. Der er tidspunkter, hvor ondsindet software, selv med alle beskyttelsesforanstaltninger, stadig kan injicere kode i firmwaren og udføre en uautoriseret opdatering. Lad os ikke glemme, at opstartsprocessen etablerer placeringen af visse offentlige og private nøgler, som kun bruges af sikkerhedsprocessoren.
Det betyder, at hvis vi ikke bruger et TPM-modul i vores pc med en AMD-processor, så lagres vores fortrolige oplysninger, såsom dem, der er relateret til de valideringscertifikater, som vi bruger til at interagere med vores bank via fTPM der findes i boot-firmwaren, og derfor skal der tilføjes yderligere sikkerhedsforanstaltninger for at beskytte den.
AMD Platform Secure Boot eller PSB er en af de sikkerhedsforanstaltninger, der er indbygget i sikkerhedsprocessoren inde i AMD CPU'er. Dens anvendelighed er ingen anden end at forhindre udførelse af en firmware relateret til opstartsprocessen, som er blevet ændret til ondsindede formål. For at gøre dette skaber den en tillidskæde, der er ansvarlig for at godkende al den firmware, som CPU får adgang, når vi starter computeren, inklusive BIOS og opstart af operativsystemet.
Hvordan virker det?
PSB tilføjer et højere sikkerhedsniveau, end UEFI BIOS'en selv kan levere, fordi den validerer indholdet af hukommelsen, der indeholder alt i bootprogrammet. Det gør det gennem en kæde af tillid, der udføres udelukkende gennem hardware og uden eksterne programmer, før hele opstartsprocessen udføres.
- Den udfører valideringen af den første blok af BIOS/UEFI, mens den gør dette, sender den et signal til HOLD-pinden på CPU'en, så den ikke starter op, mens den udfører verifikationen.
- Den er ansvarlig for at verificere indholdet af system-ROM'en, denne hukommelse indeholder en sikkerhedskopi af BIOS'ens grundlæggende funktioner og indeholder hele opstartsprocessen på en uforanderlig måde. Bemærk, at nye BIOS-funktionsopdateringer ikke er relateret til systemstart.
- Sikkerhedsprocessoren udfører sammenligningen mellem indholdet af ROM'en og firmwaren, der er lagret af UEFI'en, for at kontrollere for eventuelle uautoriserede ændringer. Efter at have gjort dette frigør det CPU'en, så pc'en kan startes op uden problemer.
AMD Sikkerhed Processor eller Platform Security Processor er en lille mikrocontroller med det højeste privilegieniveau for adgang til RAM og systemydre enheder. Den er vurderet på en ARM Cortex-A5 og på grund af dets lave strømforbrug kan den fungere med computeren i dvale- eller standbytilstand. Så det vil være den første processor, der bliver sat på mærket, når vi tænder for vores pc eller tager den ud af en af lavforbrugstilstandene.
Hvordan misbruger producenter AMD PSB?
I nyere tid ser vi ikke kun, hvordan der er bevægelser i retning af integration, men også, at midt i denne proces bliver en af de baser, der har defineret pc'en siden dens start, angrebet: kapaciteten til udvidelse og konfiguration af brugeren. De fleste producenter er kommet til den farlige konklusion, at det, at vi kan udvide vores pc's muligheder, påvirker køb af fremtidige produkter. Derfor er kontroversen om retten til reparation dukket op i lyset af praksis fra forskellige monterere og hardwareproducenter.
Logisk set ville man forvente, at dette kun ville påvirke forbrugermarkedet. Så de servere og datacentre, der bruges af både de forskellige offentlige instanser og store virksomheder, som i teorien ikke burde blive påvirket af det. AMD besluttede sig dog for at lave et program kaldet PSB, så producenter og montører kunne sælge hele deres servere og ikke dele. Årsagen bag det? Der er et brugtmarked, hvor EPYC-processorer, der allerede er fjernet fra deres servere, bruges til brugte servere og datacentre.
Med andre ord, når en virksomhed kasserer sin gamle server eller datacenter, smider den den ikke ud, men sælger sine dele for at få en del af investeringen tilbage. Dette skaber yderligere konkurrence for serverproducenter. Da de måske finder det mere attraktivt for deres kunder selv at bygge en server og vedligeholde den selv, misbruger dette en af AMD's EPYC-sikkerhedsfunktioner til at låse kunder til et bestemt brand.
Hvordan laver de låsen?
For at få en AMD EPYC-server-CPU til kun at fungere med en bestemt model af bundkort og brugt-servermarkedet, misbruger producenterne boot-certificeringsprocessen leveret af PSB til at binde processorer til deres specifikke servere, hvilket betyder, at vi ikke kan parre visse processorer undtagen med visse serverkort.
For at forstå hele processen skal vi tage udgangspunkt i, at når producenten er færdig med at oprette pc'en, uanset hvilken type det måtte være, udføres en proces, hvor boot-billedet, der er gemt i ROM'en, oprettes, og som vil omfatte to nøgler tilknyttet , både med en størrelse på 4096 bit og SHA-384-kodning . Den første vil blive gemt i system-ROM'en og vil blive afspejlet i Boot Firmware. Den anden vil på den anden side gøre det inden for HSM, en hardware, der har ansvaret for at generere kryptografisk krypterede nøgler og også afkode dem.
Begge nøgler er en del af Public Key Infrastructure og bruges til at signere indholdet af et certifikat, der findes i boot ROM'en på bundkortet, og som inkluderer identifikationskoden for processoren og resten af hardwareelementerne. Hvis et af disse elementer mangler i systemet, vil PSB simpelthen ikke tillade systemet at starte.
