Il processo di avvio di qualsiasi computer può essere compromesso se non ci sono misure di sicurezza per proteggerlo. AMD's Platform Secure Boot o PSB è uno dei meccanismi che garantiscono l'integrità in tal senso, ma può anche essere abusato dai produttori per legarvi a hardware specifico.
È molto più redditizio per i produttori di computer vendere un intero computer piuttosto che aggiornarlo con parti di marche diverse, questo è un fatto innegabile ed è per questo che la maggior parte dei computer prefabbricati ha limitazioni artificiali in modo da essere legato a un marchio specifico.
Se a questo aggiungiamo che AMD per molti anni è stato il brutto anatroccolo per i diversi produttori di computer e ha dovuto lottare molto duramente per convincere alcuni grandi marchi a utilizzare le loro CPU e quelle di Intel. Quindi, è chiaro che hanno dovuto fare qualche incarico per avvantaggiare gli interessi dei loro partner. Uno dei più controversi è il Piattaforma Secure Boot o PSB , che ha servito produttori come Dell o Lenovo collegare esclusivamente le CPU Ryzen, Threadripper ed EPYC dell'azienda guidata da Lisa Su al proprio hardware.
In che modo l'interesse dei produttori nel legarti alla loro piattaforma è correlato al sistema di protezione dell'avvio di AMD? Bene, lascia che te lo spieghiamo.
Cos'è l'AMD PSB?
All'interno del BIOS UEFI è archiviato nella memoria flash su scheda madre, che poiché non è volatile RAM viene indirizzato come se facesse parte della memoria principale. Ci sono momenti in cui, anche con tutte le misure di protezione, il software dannoso può comunque iniettare codice nel firmware ed eseguire un aggiornamento non autorizzato. Non dimentichiamo che il processo di avvio stabilisce la posizione di alcune chiavi pubbliche e private, utilizzate solo dal processore di sicurezza.
Ciò significa che se non utilizziamo un modulo TPM nel nostro PC con processore AMD, le nostre informazioni riservate come quelle relative ai certificati di convalida che utilizziamo per interagire con la nostra banca vengono archiviate tramite fTPM che si trova nel firmware di avvio, pertanto è necessario aggiungere ulteriori misure di sicurezza per proteggerlo.
L'avvio protetto della piattaforma AMD o PSB è una delle misure di sicurezza integrate nel processore di sicurezza all'interno delle CPU AMD. La sua utilità non è altro che impedire l'esecuzione di un firmware relativo al processo di avvio che è stato modificato per scopi dannosi. Per fare ciò, crea una catena di fiducia che è responsabile dell'autenticazione di tutto il firmware che il CPU accede all'avvio del computer, incluso il BIOS e l'avvio del sistema operativo.
Come funziona?
Il PSB aggiunge un livello di sicurezza più elevato rispetto a quello che lo stesso UEFI BIOS può fornire, perché convalida il contenuto della memoria che contiene tutto nel programma di avvio. Lo fa attraverso una catena di fiducia eseguita esclusivamente tramite hardware e senza programmi esterni prima che venga eseguito l'intero processo di avvio.
- Esegue la validazione del primo blocco del BIOS/UEFI, mentre così facendo invia un segnale al pin HOLD della CPU in modo che non si avvii mentre esegue la verifica.
- È responsabile della verifica del contenuto della ROM di sistema, questa memoria contiene una copia di backup delle funzioni di base del BIOS e contiene l'intero processo di avvio in modo immutabile. Si noti che i nuovi aggiornamenti delle funzionalità del BIOS non sono correlati all'avvio del sistema.
- Il processore di sicurezza esegue il confronto tra il contenuto della ROM e il firmware archiviato dall'UEFI per verificare eventuali modifiche non autorizzate. Dopo aver fatto ciò, libera la CPU in modo che il PC possa essere avviato senza problemi.
L'AMD Sicurezza Processor o Platform Security Processor è un piccolo microcontrollore con il più alto livello di privilegio per l'accesso alla RAM e alle periferiche di sistema. È valutato su un ARM Cortex-A5 e grazie al suo basso consumo energetico può funzionare con il computer in modalità sospensione o standby. Sarà quindi il primo processore ad essere messo nel segno quando accendiamo il nostro PC o lo togliamo da una delle modalità a basso consumo.
In che modo i produttori abusano dell'AMD PSB?
Negli ultimi tempi stiamo vedendo non solo come ci siano dei movimenti verso l'integrazione, ma anche che nel mezzo di questo processo viene attaccata una delle basi che ha definito il PC sin dal suo inizio: la capacità di espansione e configurazione da parte dell'utente. La maggior parte dei produttori è giunta alla pericolosa conclusione che il fatto che possiamo espandere le capacità del nostro PC influisce sull'acquisto di prodotti futuri. Pertanto, la controversia sul diritto alla riparazione è apparsa di fronte alle pratiche di diversi assemblatori e produttori di hardware.
Logicamente, ci si aspetterebbe che ciò influisca solo sul mercato dei consumatori. Quindi i server ei data center utilizzati sia dai diversi enti pubblici che dalle grandi aziende che in teoria non dovrebbero risentirne. Tuttavia, AMD ha deciso di creare un programma chiamato PSB in modo che i produttori e gli assemblatori potessero vendere i loro interi server e non le parti. Il motivo? Esiste un mercato dell'usato in cui i processori EPYC già rimossi dai loro server vengono utilizzati per server e data center di seconda mano.
In altre parole, quando un'azienda scarta il suo vecchio server o data center, non lo butta via, ma vende le sue parti per recuperare parte dell'investimento. Ciò crea ulteriore concorrenza per i produttori di server. Dal momento che potrebbero trovare più interessante per i loro clienti costruire un server da soli e mantenerlo da soli, questo abusa di una delle funzionalità di sicurezza EPYC di AMD per bloccare i clienti in un particolare marchio.
Come fanno la serratura?
Per fare in modo che una CPU per server AMD EPYC funzioni solo con un modello specifico di scheda madre e il mercato dei server di seconda mano, i produttori abusano del processo di certificazione di avvio fornito dal PSB per collegare i processori ai loro server specifici, il che significa che non possiamo accoppiare alcuni processori tranne che con alcune schede server.
Per capire l'intero processo bisogna partire dal fatto che quando il produttore ha finito di creare il PC, qualunque esso sia, viene eseguito un processo in cui viene creata l'immagine di avvio memorizzata nella ROM e che includerà due chiavi associate , entrambi con una dimensione di 4096 bit e Codifica SHA-384 . Il primo verrà archiviato nella ROM di sistema e si rifletterà nel firmware di avvio. Il secondo, invece, lo farà all'interno dell'HSM, un hardware incaricato di generare chiavi crittografate crittografate e anche di decodificarle.
Entrambe le chiavi fanno parte della Public Key Infrastructure e vengono utilizzate per firmare il contenuto di un certificato che si trova nella ROM di avvio sulla scheda madre e che include il codice identificativo del processore e il resto degli elementi hardware. Se uno di questi elementi manca nel sistema, il PSB semplicemente non consentirà l'avvio del sistema.
