Der Startvorgang eines beliebigen Computers kann kompromittiert werden, wenn es keine Sicherheitsmaßnahmen gibt, um ihn zu schützen. AMD's Platform Secure Boot oder PSB ist einer der Mechanismen, die diesbezüglich Integrität garantieren, kann aber auch von Herstellern missbraucht werden, um Sie an bestimmte Hardware zu binden.
Es ist für Computerhersteller viel rentabler, einen ganzen Computer zu verkaufen, als ihn mit Teilen verschiedener Marken zu aktualisieren, das ist eine unbestreitbare Tatsache, und deshalb tragen die meisten vorgefertigten Computer künstliche Einschränkungen, sodass Sie an eine bestimmte Marke gebunden sind.
Wenn wir noch hinzufügen, dass AMD viele Jahre lang das hässliche Entlein für die verschiedenen Computerhersteller war und sehr hart kämpfen musste, um bestimmte große Marken dazu zu bringen, ihre CPUs und die von zu verwenden Intel. Es ist also klar, dass sie eine Aufgabe erfüllen mussten, um die Interessen ihrer Partner zu fördern. Eine der umstrittensten ist die Platform Secure Boot oder PSB , die Herstellern wie Dell oder bedient hat Lenovo die Ryzen-, Threadripper- und EPYC-CPUs des von Lisa Su geführten Unternehmens exklusiv an ihre Hardware zu binden.
Wie hängt das Interesse der Hersteller, Sie an ihre Plattform zu binden, mit dem Boot-Schutzsystem von AMD zusammen? Nun, lassen Sie es uns Ihnen erklären.
Was ist der AMD-PSB?
Innerhalb des BIOS wird UEFI im Flash-Speicher auf dem gespeichert Hauptplatine, die, da sie nicht flüchtig ist RAM wird adressiert, als ob es Teil des Hauptspeichers wäre. Es gibt Zeiten, in denen trotz aller Schutzmaßnahmen Schadsoftware immer noch Code in die Firmware einschleusen und ein nicht autorisiertes Update durchführen kann. Vergessen wir nicht, dass der Startvorgang den Speicherort bestimmter öffentlicher und privater Schlüssel festlegt, die nur vom Sicherheitsprozessor verwendet werden.
Das bedeutet, dass, wenn wir in unserem PC mit AMD-Prozessor kein TPM-Modul verwenden, unsere vertraulichen Informationen, z. B. die im Zusammenhang mit den Validierungszertifikaten, die wir für die Interaktion mit unserer Bank verwenden, über gespeichert werden fTPM die sich in der Boot-Firmware befindet, daher müssen zusätzliche Sicherheitsmaßnahmen hinzugefügt werden, um sie zu schützen.
Der AMD Platform Secure Boot oder PSB ist eine der Sicherheitsmaßnahmen, die in den Sicherheitsprozessor in AMD-CPUs integriert sind. Seine Nützlichkeit besteht darin, die Ausführung einer Firmware im Zusammenhang mit dem Startvorgang zu verhindern, die zu böswilligen Zwecken modifiziert wurde. Dazu erstellt es eine Vertrauenskette, die für die Authentifizierung der gesamten Firmware verantwortlich ist, die die CPU greift zu, wenn wir den Computer starten, einschließlich des BIOS und des Starts des Betriebssystems.
Wie funktioniert es?
Das PSB fügt ein höheres Maß an Sicherheit hinzu, als das UEFI-BIOS selbst bieten kann, da es den Inhalt des Speichers validiert, der alles im Startprogramm enthält. Dies geschieht durch eine Vertrauenskette, die rein durch Hardware und ohne externe Programme ausgeführt wird, bevor der gesamte Startvorgang ausgeführt wird.
- Es führt die Validierung des ersten Blocks des BIOS/UEFI durch und sendet dabei ein Signal an den HOLD-Pin der CPU, damit es nicht startet, während es die Überprüfung durchführt.
- Es ist verantwortlich für die Überprüfung des Inhalts des System-ROM, dieser Speicher enthält eine Sicherungskopie der Grundfunktionen des BIOS und enthält unveränderlich den gesamten Startvorgang. Beachten Sie, dass neue BIOS-Feature-Updates nichts mit dem Systemstart zu tun haben.
- Der Sicherheitsprozessor führt den Vergleich zwischen den Inhalten des ROM und der durch das UEFI gespeicherten Firmware durch, um nach nicht autorisierten Änderungen zu suchen. Danach wird die CPU freigegeben, sodass der PC problemlos hochgefahren werden kann.
Die AMD Sicherheit Prozessor oder Plattformsicherheit Prozessor ist ein kleiner Mikrocontroller mit der höchsten Berechtigungsstufe für den Zugriff auf RAM und Systemperipherie. Es ist mit einem bewertet ARM Cortex-A5 und kann aufgrund seines geringen Stromverbrauchs mit dem Computer im Schlaf- oder Standby-Modus arbeiten. Es wird also der erste Prozessor sein, der ins Schwarze trifft, wenn wir unseren PC einschalten oder ihn aus einem der Niedrigverbrauchsmodi herausnehmen.
Wie missbrauchen Hersteller das AMD PSB?
In letzter Zeit beobachten wir nicht nur Integrationsbewegungen, sondern auch, dass mitten in diesem Prozess eine der Grundlagen angegriffen wird, die den PC seit seinen Anfängen definiert hat: die Erweiterungs- und Konfigurationsfähigkeit durch den Benutzer. Die meisten Hersteller sind zu dem gefährlichen Schluss gekommen, dass die Tatsache, dass wir die Fähigkeiten unseres PCs erweitern können, den Kauf zukünftiger Produkte beeinflusst. Daher ist die Kontroverse über das Recht auf Reparatur angesichts der Praktiken verschiedener Monteure und Hardwarehersteller aufgetaucht.
Logischerweise würde man erwarten, dass dies nur den Verbrauchermarkt betrifft. Also die Server und Rechenzentren, die sowohl von den verschiedenen öffentlichen Stellen als auch von großen Unternehmen genutzt werden, die theoretisch nicht davon betroffen sein sollten. AMD beschloss jedoch, ein Programm namens PSB zu erstellen, damit Hersteller und Assembler ihre gesamten Server und nicht Teile verkaufen können. Der Grund dahinter? Es gibt einen Gebrauchtmarkt, auf dem EPYC-Prozessoren, die bereits von ihren Servern entfernt wurden, für gebrauchte Server und Rechenzentren verwendet werden.
Mit anderen Worten, wenn ein Unternehmen seinen alten Server oder sein altes Rechenzentrum entsorgt, wirft es es nicht weg, sondern verkauft seine Teile, um einen Teil der Investition zurückzugewinnen. Dies schafft zusätzlichen Wettbewerb für Serverhersteller. Da sie es für ihre Kunden möglicherweise attraktiver finden, einen Server selbst zu bauen und ihn selbst zu warten, wird damit eine der EPYC-Sicherheitsfunktionen von AMD missbraucht, um Kunden an eine bestimmte Marke zu binden.
Wie machen sie das Schloss?
Damit eine AMD EPYC-Server-CPU nur mit einem bestimmten Motherboard-Modell und dem Gebrauchtservermarkt funktioniert, missbrauchen die Hersteller den vom PSB bereitgestellten Boot-Zertifizierungsprozess, um Prozessoren an ihre spezifischen Server zu binden, was bedeutet, dass wir sie nicht koppeln können bestimmte Prozessoren, außer bei bestimmten Serverplatinen.
Um den gesamten Prozess zu verstehen, müssen wir von der Tatsache ausgehen, dass, wenn der Hersteller die Erstellung des PCs, welcher Art auch immer, abgeschlossen hat, ein Prozess ausgeführt wird, bei dem das im ROM gespeicherte Boot-Image erstellt wird und das zwei zugeordnete Schlüssel enthält , beide mit einer Größe von 4096 Bit und SHA-384-Codierung . Die erste wird im System-ROM gespeichert und in der Boot-Firmware wiedergegeben. Die zweite hingegen wird dies innerhalb des HSM tun, einer Hardware, die dafür zuständig ist, kryptografisch verschlüsselte Schlüssel zu erzeugen und sie auch zu decodieren.
Beide Schlüssel sind Teil der Public Key Infrastructure und werden verwendet, um den Inhalt eines Zertifikats zu signieren, das sich im Boot-ROM auf dem Motherboard befindet und das den Identifikationscode des Prozessors und der restlichen Hardwareelemente enthält. Wenn eines dieser Elemente im System fehlt, lässt das PSB das Booten des Systems einfach nicht zu.
