Minkä tahansa tietokoneen käynnistysprosessi voi vaarantua, jos sitä ei ole suojattu. AMD's Platform Secure Boot tai PSB on yksi mekanismeista, jotka takaavat eheyden tässä suhteessa, mutta valmistajat voivat myös käyttää sitä väärin sitoakseen sinut tiettyyn laitteistoon.
Tietokonevalmistajille on paljon kannattavampaa myydä kokonainen tietokone kuin päivittää se eri merkkien osilla, se on kiistaton tosiasia ja siksi useimmat valmiiksi rakennetut tietokoneet sisältävät keinotekoisia rajoituksia, jotta olet sidottu tiettyyn merkkiin.
Jos tähän lisätään, että AMD on ollut useiden vuosien ajan ruma ankanpoikanen eri tietokonevalmistajille ja on joutunut taistelemaan kovasti saadakseen tietyt suuret tuotemerkit käyttämään prosessoriaan ja Intel. On siis selvää, että he ovat joutuneet tekemään jonkin toimeksiannon hyödyttääkseen kumppaniensa etuja. Yksi kiistanalaisimmista on Platform Secure Boot tai PSB , joka on palvellut valmistajia, kuten Dell tai Lenovo sitoa Lisa Sun johtaman yrityksen Ryzen-, Threadripper- ja EPYC-suorittimet yksinomaan heidän laitteistoonsa.
Miten valmistajien kiinnostus sitoa sinut alustaansa liittyy AMD:n käynnistyssuojajärjestelmään? No, selitetään se sinulle.
Mikä on AMD PSB?
BIOSissa UEFI on tallennettu flash-muistiin emolevy, joka, koska se on haihtumaton RAM osoitetaan ikään kuin se olisi osa päämuistia. Joskus haittaohjelmat voivat silti syöttää koodia laiteohjelmistoon ja suorittaa luvattoman päivityksen kaikista suojaustoimenpiteistä huolimatta. Älä unohda, että käynnistysprosessi määrittää tiettyjen julkisten ja yksityisten avainten sijainnin, joita vain suojausprosessori käyttää.
Tämä tarkoittaa, että jos emme käytä TPM-moduulia tietokoneessamme AMD-prosessorilla, luottamukselliset tietomme, kuten ne, jotka liittyvät vahvistusvarmenteisiin, joita käytämme vuorovaikutuksessa pankkimme kanssa, tallennetaan fTPM joka löytyy käynnistyslaiteohjelmistosta, joten sen suojaamiseksi on lisättävä lisäsuojaustoimenpiteitä.
AMD Platform Secure Boot tai PSB on yksi turvatoimista, jotka on sisäänrakennettu AMD-suorittimien suojausprosessoriin. Sen hyödyllisyys ei ole mikään muu kuin haitallisiin tarkoituksiin muokatun käynnistysprosessiin liittyvän laiteohjelmiston suorittamisen estäminen. Tätä varten se luo luottamusketjun, joka on vastuussa kaikkien laiteohjelmistojen todentamisesta prosessori käyttää, kun käynnistämme tietokoneen, mukaan lukien BIOS ja käyttöjärjestelmän käynnistys.
Miten tämä toimii?
PSB lisää korkeamman suojaustason kuin itse UEFI BIOS voi tarjota, koska se tarkistaa kaiken käynnistysohjelman sisältävän muistin sisällön. Se tekee tämän luottamusketjun kautta, joka suoritetaan puhtaasti laitteiston kautta ja ilman ulkoisia ohjelmia ennen kuin koko käynnistysprosessi suoritetaan.
- Se suorittaa BIOS/UEFI:n ensimmäisen lohkon validoinnin, ja samalla se lähettää signaalin CPU:n HOLD-nastalle, jotta se ei käynnisty varmennusta suorittaessaan.
- Se vastaa järjestelmän ROM-muistin sisällön tarkistamisesta, tämä muisti sisältää varmuuskopion BIOSin perustoiminnoista ja sisältää koko käynnistysprosessin muuttumattomalla tavalla. Huomaa, että uudet BIOS-ominaisuuspäivitykset eivät liity järjestelmän käynnistykseen.
- Suojausprosessori suorittaa vertailun ROM-muistin sisällön ja UEFI:n tallentaman laiteohjelmiston välillä tarkistaakseen mahdolliset luvattomat muutokset. Tämän jälkeen se vapauttaa suorittimen, jotta tietokone voidaan käynnistää ilman ongelmia.
AMD Turvallisuus Prosessori tai alustan suojausprosessori on pieni mikro-ohjain, jolla on korkein käyttöoikeustaso RAM-muistin ja järjestelmän oheislaitteiden käyttöön. Se on luokiteltu an ARM Cortex-A5 ja alhaisen virrankulutuksensa ansiosta se voi toimia tietokoneen kanssa lepotilassa tai valmiustilassa. Joten se on ensimmäinen prosessori, joka saatetaan merkiksi, kun käynnistämme tietokoneemme tai poistamme sen jostakin alhaisen kulutuksen tilasta.
Kuinka valmistajat väärinkäyttävät AMD PSB:tä?
Viime aikoina olemme nähneet, kuinka integraatiota on edetty, vaan myös sen, että tämän prosessin keskellä hyökätään yhtä PC:tä sen perustamisesta lähtien määrittäneitä perusteita vastaan: käyttäjän laajennus- ja konfigurointikykyyn. Useimmat valmistajat ovat tulleet vaaralliseen johtopäätökseen, että se, että voimme laajentaa PC:mme ominaisuuksia, vaikuttaa tulevien tuotteiden ostamiseen. Tästä syystä korjausoikeuden kiista on ilmaantunut eri kokoajien ja laitevalmistajien käytäntöjen edessä.
Loogisesti tämän voisi odottaa vaikuttavan vain kuluttajamarkkinoihin. Sekä eri julkisten elinten että suurten yritysten käyttämät palvelimet ja datakeskukset, joihin sen ei teoriassa pitäisi vaikuttaa. AMD päätti kuitenkin luoda PSB-nimisen ohjelman, jotta valmistajat ja kokoajat voisivat myydä kokonaisia palvelimiaan eivätkä osia. Syy sen takana? On olemassa käytettyjen laitteiden markkinat, joilla palvelimilta jo poistettuja EPYC-prosessoreita käytetään käytettyinä palvelimissa ja datakeskuksissa.
Toisin sanoen, kun yritys hävittää vanhan palvelimensa tai datakeskuksensa, se ei heitä sitä pois, vaan myy sen osat saadakseen osan sijoituksesta takaisin. Tämä luo lisäkilpailua palvelinvalmistajille. Koska he voivat pitää asiakkaidensa houkuttelevana rakentaa palvelin itse ja ylläpitää sitä itse, tämä käyttää väärin yhtä AMD:n EPYC-suojausominaisuuksista lukitakseen asiakkaat tiettyyn tuotemerkkiin.
Miten he tekevät lukon?
Jotta AMD EPYC -palvelinsuoritin toimisi vain tietyn emolevyn mallin ja käytettyjen palvelinmarkkinoiden kanssa, valmistajat käyttävät väärin PSB:n tarjoamaa käynnistyssertifiointiprosessia sitoakseen prosessorit tiettyihin palvelimiinsa, mikä tarkoittaa, että emme voi muodostaa laiteparia. tietyt prosessorit paitsi tietyt palvelinlevyt.
Koko prosessin ymmärtämiseksi meidän on lähdettävä siitä tosiasiasta, että kun valmistaja on lopettanut tietokoneen luomisen, oli se sitten mikä tahansa tyyppi, suoritetaan prosessi, jossa luodaan ROM-muistiin tallennettu käynnistyskuva, joka sisältää kaksi avainta. , molemmat kooltaan 4096 bittiä ja SHA-384-koodaus . Ensimmäinen tallennetaan järjestelmän ROM-muistiin ja näkyy käynnistysohjelmistossa. Toinen toisaalta tekee sen HSM:ssä, laitteistossa, joka vastaa kryptografisesti salattujen avainten luomisesta ja myös niiden dekoodaamisesta.
Molemmat avaimet ovat osa julkisen avaimen infrastruktuuria, ja niitä käytetään allekirjoittamaan emolevyn käynnistysROM-muistista löytyvän varmenteen sisältö, joka sisältää prosessorin ja muiden laitteistoelementtien tunnistekoodin. Jos jokin näistä kohteista puuttuu järjestelmästä, PSB ei yksinkertaisesti salli järjestelmän käynnistymistä.
