Le processus de démarrage de n'importe quel ordinateur peut être compromis s'il n'y a pas de mesures de sécurité pour le protéger. AMDPlate-forme Secure Boot ou PSB de est l'un des mécanismes qui garantissent l'intégrité à cet égard, mais il peut également être utilisé abusivement par les fabricants pour vous lier à un matériel spécifique.
Il est beaucoup plus rentable pour les fabricants d'ordinateurs de vendre un ordinateur entier que de le mettre à jour avec des pièces de différentes marques, c'est un fait indéniable et c'est pourquoi la plupart des ordinateurs pré-construits comportent des limitations artificielles afin que vous soyez lié à une marque spécifique.
Si l'on ajoute à cela qu'AMD a été pendant de nombreuses années le vilain petit canard des différents fabricants d'ordinateurs et a dû se battre très fort pour que certaines grandes marques utilisent leurs CPU et ceux de Intel. Il est donc clair qu'ils ont dû faire une cession afin de profiter aux intérêts de leurs partenaires. L'un des plus controversés est le Plate-forme Secure Boot ou PSB , qui a servi des fabricants tels que Dell ou Lenovo pour lier les processeurs Ryzen, Threadripper et EPYC de la société dirigée par Lisa Su à leur matériel exclusivement.
Quel est le lien entre l'intérêt des fabricants à vous lier à leur plate-forme et le système de protection de démarrage d'AMD ? Eh bien, laissez-nous vous l'expliquer.
Qu'est-ce que le PSB AMD ?
Dans le BIOS, l'UEFI est stocké dans la mémoire flash sur le carte mère, qui puisqu'il n'est pas volatil RAM est adressé comme s'il faisait partie de la mémoire principale. Il y a des moments où même avec toutes les mesures de protection, les logiciels malveillants peuvent toujours injecter du code dans le micrologiciel et effectuer une mise à jour non autorisée. N'oublions pas que le processus de démarrage établit l'emplacement de certaines clés publiques et privées, utilisées uniquement par le processeur de sécurité.
Cela signifie que si nous n'utilisons pas de module TPM dans notre PC avec un processeur AMD, alors nos informations confidentielles telles que celles liées aux certificats de validation que nous utilisons pour interagir avec notre banque sont stockées via fTPM qui se trouve dans le firmware de démarrage, par conséquent, des mesures de sécurité supplémentaires doivent être ajoutées afin de le protéger.
La plate-forme AMD Secure Boot ou PSB est l'une des mesures de sécurité intégrées au processeur de sécurité des processeurs AMD. Son utilité n'est autre que d'empêcher l'exécution d'un firmware lié au processus de démarrage qui aurait été modifié à des fins malveillantes. Pour ce faire, il crée une chaîne de confiance qui se charge d'authentifier tous les firmwares que le Processeur accède lorsque nous démarrons l'ordinateur, y compris le BIOS et le démarrage du système d'exploitation.
Comment cela fonctionne ?
Le PSB ajoute un niveau de sécurité supérieur à celui que le BIOS UEFI lui-même peut fournir, car il valide le contenu de la mémoire qui contient tout dans le programme de démarrage. Il le fait via une chaîne de confiance exécutée uniquement via le matériel et sans aucun programme externe avant l'exécution de l'ensemble du processus de démarrage.
- Il effectue la validation du premier bloc du BIOS/UEFI, ce faisant, il envoie un signal à la broche HOLD du CPU afin qu'il ne démarre pas pendant qu'il effectue la vérification.
- Il est chargé de vérifier le contenu de la ROM système, cette mémoire contient une copie de sauvegarde des fonctions de base du BIOS et contient l'intégralité du processus de démarrage de manière immuable. Notez que les nouvelles mises à jour des fonctionnalités du BIOS ne sont pas liées au démarrage du système.
- Le processeur de sécurité effectue la comparaison entre le contenu de la ROM et le micrologiciel stocké par l'UEFI pour vérifier toute modification non autorisée. Après cela, il libère le processeur afin que le PC puisse être démarré sans problème.
L'AMD Sécurité Processor ou Platform Security Processor est un petit microcontrôleur avec le niveau de privilège le plus élevé pour l'accès à la RAM et aux périphériques système. Il est noté sur une BRAS Cortex-A5 et en raison de sa faible consommation d'énergie, il peut fonctionner avec l'ordinateur en mode veille ou veille. Ce sera donc le premier processeur à être mis à l'épreuve lorsque nous allumerons notre PC ou le sortirons d'un des modes basse consommation.
Comment les constructeurs abusent-ils du PSB d'AMD ?
Ces derniers temps, nous voyons non seulement comment il y a des mouvements vers l'intégration, mais aussi qu'au milieu de ce processus, l'une des bases qui a défini le PC depuis sa création est attaquée : la capacité d'extension et de configuration par l'utilisateur. La plupart des fabricants sont arrivés à la dangereuse conclusion que le fait que nous puissions étendre les capacités de notre PC affecte l'achat de futurs produits. Ainsi, la polémique du droit à la réparation est apparue face aux pratiques des différents assembleurs et fabricants de matériel.
Logiquement, on s'attendrait à ce que cela n'affecte que le marché de la consommation. Ce sont donc les serveurs et les centres de données utilisés à la fois par les différents organismes publics et les grandes entreprises qui, en théorie, ne devraient pas en être affectés. Cependant, AMD a décidé de créer un programme appelé PSB afin que les fabricants et les assembleurs puissent vendre leurs serveurs entiers et non des pièces. La raison derrière cela? Il existe un marché de l'occasion où les processeurs EPYC déjà dépouillés de leurs serveurs sont utilisés pour des serveurs et des centres de données d'occasion.
En d'autres termes, lorsqu'une entreprise se débarrasse de son ancien serveur ou centre de données, elle ne le jette pas, mais vend ses pièces pour récupérer une partie de l'investissement. Cela crée une concurrence supplémentaire pour les fabricants de serveurs. Puisqu'ils peuvent trouver plus attrayant pour leurs clients de construire eux-mêmes un serveur et de le maintenir eux-mêmes, cela abuse de l'une des fonctionnalités de sécurité EPYC d'AMD pour enfermer les clients dans une marque particulière.
Comment font-ils la serrure?
Afin de faire fonctionner un processeur de serveur AMD EPYC uniquement avec un modèle spécifique de carte mère et le marché des serveurs d'occasion, les fabricants abusent du processus de certification de démarrage fourni par le PSB pour lier les processeurs à leurs serveurs spécifiques, ce qui signifie que nous ne pouvons pas coupler certains processeurs sauf avec certaines cartes serveurs.
Pour comprendre l'ensemble du processus, il faut partir du fait que lorsque le fabricant a fini de créer le PC, quel qu'il soit, un processus est exécuté dans lequel l'image de démarrage stockée dans la ROM est créée et qui comprendra deux clés associées , à la fois avec une taille de 4096 bits et Encodage SHA-384 . Le premier sera stocké dans la ROM système et sera reflété dans le Boot Firmware. Le second, en revanche, le fera au sein du HSM, un matériel chargé de générer des clés chiffrées cryptographiquement et également de les décoder.
Les deux clés font partie de l'infrastructure à clé publique et sont utilisées pour signer le contenu d'un certificat qui se trouve dans la ROM de démarrage de la carte mère et qui comprend le code d'identification du processeur et le reste des éléments matériels. Si l'un de ces éléments est absent du système, le PSB ne permettra tout simplement pas au système de démarrer.
