Oppstartsprosessen til enhver datamaskin kan bli kompromittert hvis det ikke er noen sikkerhetstiltak for å beskytte den. AMD's Platform Secure Boot eller PSB er en av mekanismene som garanterer integritet i denne forbindelse, men den kan også misbrukes av produsenter for å knytte deg til spesifikk maskinvare.
Det er mye mer lønnsomt for dataprodusenter å selge en hel datamaskin enn å oppdatere den med deler fra forskjellige merker, det er et ubestridelig faktum og det er grunnen til at de fleste forhåndsbygde datamaskiner har kunstige begrensninger slik at du er knyttet til et spesifikt merke.
Hvis vi legger til dette at AMD i mange år har vært den stygge andungen for de forskjellige datamaskinprodusentene og har måttet kjempe hardt for å få visse store merker til å bruke sine CPUer og de av Intel. Så det er klart at de har måttet gjøre noen oppdrag for å være til fordel for interessene til partnerne deres. En av de mest kontroversielle er Platform Secure Boot eller PSB , som har tjent produsenter som Dell eller Lenovo å knytte Ryzen, Threadripper og EPYC CPU-ene til selskapet ledet av Lisa Su utelukkende til maskinvaren deres.
Hvordan forholder produsentenes interesse for å knytte deg til plattformen deres til AMDs oppstartsbeskyttelsessystem? Vel, la oss forklare det for deg.
Hva er AMD PSB?
I BIOS er UEFI lagret i flashminnet på hovedkort, som siden den er ikke-flyktig RAM adresseres som om det var en del av hovedminnet. Det er tider når selv med alle beskyttelsestiltak kan skadelig programvare fortsatt injisere kode i fastvaren og utføre en uautorisert oppdatering. La oss ikke glemme at oppstartsprosessen etablerer plasseringen av visse offentlige og private nøkler, kun brukt av sikkerhetsprosessoren.
Dette betyr at hvis vi ikke bruker en TPM-modul i PC-en vår med en AMD-prosessor, så lagres vår konfidensielle informasjon som den som er knyttet til valideringssertifikatene som vi bruker for å samhandle med banken vår via fTPM som finnes i oppstartsfastvaren, derfor må ytterligere sikkerhetstiltak legges til for å beskytte den.
AMD Platform Secure Boot eller PSB er en av sikkerhetstiltakene innebygd i sikkerhetsprosessoren inne i AMD CPUer. Dens nytte er ingen annen enn å forhindre kjøring av en fastvare relatert til oppstartsprosessen som har blitt modifisert for ondsinnede formål. For å gjøre dette oppretter den en tillitskjede som er ansvarlig for å autentisere all fastvaren som prosessor tilgang når vi starter datamaskinen, inkludert BIOS og oppstart av operativsystemet.
Hvordan virker det?
PSB legger til et høyere sikkerhetsnivå enn UEFI BIOS selv kan gi, fordi den validerer innholdet i minnet som inneholder alt i oppstartsprogrammet. Den gjør dette gjennom en kjede av tillit utført rent gjennom maskinvare og uten eksterne programmer før hele oppstartsprosessen er utført.
- Den utfører valideringen av den første blokken av BIOS/UEFI, mens den gjør dette sender den et signal til HOLD-pinnen til CPU-en slik at den ikke starter opp mens den utfører verifiseringen.
- Det er ansvarlig for å verifisere innholdet i system-ROMen, dette minnet inneholder en sikkerhetskopi av de grunnleggende funksjonene til BIOS og inneholder hele oppstartsprosessen på en uforanderlig måte. Merk at nye BIOS-funksjonsoppdateringer ikke er relatert til systemoppstart.
- Sikkerhetsprosessoren utfører sammenligningen mellom innholdet i ROM-en og fastvaren som er lagret av UEFI for å se etter eventuelle uautoriserte endringer. Etter å ha gjort dette frigjør det CPU slik at PC-en kan startes opp uten problemer.
AMD Sikkerhet Prosessor eller plattformsikkerhetsprosessor er en liten mikrokontroller med høyeste rettighetsnivå for tilgang til RAM og systemutstyr. Den er vurdert på en ARM Cortex-A5 og på grunn av det lave strømforbruket kan den fungere med datamaskinen i hvile- eller standby-modus. Så det vil være den første prosessoren som settes på merket når vi slår på PC-en vår eller tar den ut av en av lavforbruksmodusene.
Hvordan misbruker produsenter AMD PSB?
I nyere tid ser vi ikke bare hvordan det er bevegelser mot integrasjon, men også at midt i denne prosessen blir en av basene som har definert PC-en siden starten angrepet: kapasiteten til utvidelse og konfigurering av brukeren. De fleste produsenter har kommet til den farlige konklusjonen at det faktum at vi kan utvide egenskapene til PC-en vår påvirker kjøp av fremtidige produkter. Derfor har kontroversen om retten til å reparere dukket opp i møte med praksisen til forskjellige montører og maskinvareprodusenter.
Logisk sett kan man forvente at dette kun vil påvirke forbrukermarkedet. Så serverne og datasentrene som brukes av både de ulike offentlige organene og store selskaper som i teorien ikke skal bli påvirket av det. Imidlertid bestemte AMD seg for å lage et program kalt PSB slik at produsenter og montører kunne selge hele serverne sine og ikke deler. Årsaken bak det? Det er et bruktmarked hvor EPYC-prosessorer som allerede er strippet fra serverne deres, brukes til bruktservere og datasentre.
Med andre ord, når et selskap kaster sin gamle server eller datasenter, kaster det det ikke, men selger delene for å få tilbake deler av investeringen. Dette skaper ytterligere konkurranse for serverprodusentene. Siden de kan finne det mer attraktivt for kundene deres å bygge en server selv og vedlikeholde den selv, misbruker dette en av AMDs EPYC-sikkerhetsfunksjoner for å låse kunder til et bestemt merke.
Hvordan lager de låsen?
For å få en AMD EPYC server CPU til å kun fungere med en spesifikk modell av hovedkort og bruktservermarkedet, misbruker produsenter oppstartssertifiseringsprosessen levert av PSB for å knytte prosessorer til deres spesifikke servere, noe som betyr at vi ikke kan pare visse prosessorer unntatt med visse serverkort.
For å forstå hele prosessen må vi ta utgangspunkt i det faktum at når produsenten er ferdig med å lage PC-en, uansett hvilken type det måtte være, utføres en prosess der oppstartsbildet som er lagret i ROM-en opprettes og som vil inkludere to nøkler tilknyttet , både med en størrelse på 4096 biter og SHA-384-koding . Den første vil bli lagret i system-ROM og vil gjenspeiles i oppstartsfastvaren. Den andre vil derimot gjøre det innenfor HSM, en maskinvare som har ansvaret for å generere kryptografisk krypterte nøkler og også dekode dem.
Begge nøklene er en del av Public Key Infrastructure og brukes til å signere innholdet i et sertifikat som finnes i boot ROM på hovedkortet og som inkluderer identifikasjonskoden til prosessoren og resten av maskinvareelementene. Hvis en av disse elementene mangler i systemet, vil PSB ganske enkelt ikke tillate at systemet starter opp.
