Procesul de pornire al oricărui computer poate fi compromis dacă nu există măsuri de securitate pentru a-l proteja. AMDPlatforma Secure Boot sau PSB este unul dintre mecanismele care garantează integritatea în acest sens, dar poate fi abuzat și de producători pentru a te lega de hardware anume.
Este mult mai profitabil pentru producătorii de calculatoare să vândă un computer întreg decât să-l actualizeze cu piese de la diferite mărci, acesta este un fapt incontestabil și de aceea majoritatea computerelor prefabricate poartă limitări artificiale, astfel încât să fii legat de o anumită marcă.
Dacă adăugăm la aceasta că AMD de mulți ani a fost rățușa urâtă pentru diferiții producători de computere și a trebuit să lupte foarte mult pentru ca anumite mărci importante să-și folosească procesoarele și cele ale Intel. Deci, este clar că au fost nevoiți să facă o misiune pentru a beneficia de interesele partenerilor lor. Una dintre cele mai controversate este Platform Secure Boot sau PSB , care a servit producători precum Dell sau Lenovo pentru a lega procesoarele Ryzen, Threadripper și EPYC ale companiei conduse de Lisa Su exclusiv de hardware-ul lor.
Cum se leagă interesul producătorilor de a vă lega de platforma lor cu sistemul de protecție a încărcării de la AMD? Ei bine, hai să îți explicăm.
Ce este AMD PSB?
În BIOS, UEFI este stocat în memoria flash pe Plăci de bază, care, deoarece este nevolatil RAM este adresată ca și cum ar fi parte a memoriei principale. Există momente în care, chiar și cu toate măsurile de protecție, software-ul rău intenționat poate încă injecta cod în firmware și poate efectua o actualizare neautorizată. Să nu uităm că procesul de boot stabilește locația anumitor chei publice și private, folosite doar de procesorul de securitate.
Aceasta înseamnă că, dacă nu folosim un modul TPM în PC-ul nostru cu un procesor AMD, atunci informațiile noastre confidențiale precum cele legate de certificatele de validare pe care le folosim pentru a interacționa cu banca noastră sunt stocate prin fTPM care se găsește în firmware-ul de boot, prin urmare, trebuie adăugate măsuri de securitate suplimentare pentru a-l proteja.
AMD Platform Secure Boot sau PSB este una dintre măsurile de securitate încorporate în procesorul de securitate din interiorul procesoarelor AMD. Utilitatea sa nu este alta decât aceea de a împiedica executarea unui firmware legat de procesul de boot care a fost modificat în scopuri rău intenționate. Pentru a face acest lucru, creează un lanț de încredere care este responsabil pentru autentificarea întregului firmware pe care îl are Procesor accesează atunci când pornim computerul, inclusiv BIOS-ul și pornirea sistemului de operare.
Cum functioneaza?
PSB adaugă un nivel de securitate mai mare decât poate oferi UEFI BIOS-ul însuși, deoarece validează conținutul memoriei care conține totul în programul de boot. Face acest lucru printr-un lanț de încredere executat exclusiv prin hardware și fără programe externe înainte ca întregul proces de pornire să fie executat.
- Efectuează validarea primului bloc al BIOS/UEFI, în timp ce face acest lucru trimite un semnal către pinul HOLD al CPU pentru ca acesta să nu pornească în timp ce efectuează verificarea.
- Este responsabil pentru verificarea conținutului ROM-ului sistemului, această memorie conține o copie de rezervă a funcțiilor de bază ale BIOS-ului și conține întregul proces de boot într-un mod imuabil. Rețineți că noile actualizări ale caracteristicilor BIOS nu sunt legate de pornirea sistemului.
- Procesorul de securitate realizează compararea între conținutul ROM-ului și firmware-ul stocat de UEFI pentru a verifica dacă există modificări neautorizate. După ce face acest lucru, eliberează procesorul, astfel încât computerul să poată fi pornit fără probleme.
AMD Securitate Procesor sau Platform Security Processor este un mic microcontroler cu cel mai înalt nivel de privilegii pentru acces la RAM și periferice de sistem. Este evaluat pe un ARM Cortex-A5 și datorită consumului redus de energie poate funcționa cu computerul în modul de repaus sau de așteptare. Așa că va fi primul procesor care va fi pus pe marcaj atunci când pornim computerul sau îl scoatem dintr-unul dintre modurile de consum redus.
Cum abuzează producătorii de AMD PSB?
În ultima vreme observăm nu doar cum există mișcări către integrare, ci și că în mijlocul acestui proces este atacată una dintre bazele care a definit PC-ul încă de la început: capacitatea de extindere și configurare de către utilizator. Majoritatea producătorilor au ajuns la concluzia periculoasă că faptul că putem extinde capacitățile PC-ului nostru afectează achiziția de produse viitoare. Prin urmare, controversa dreptului la reparare a apărut în fața practicilor diferiților montatori și producători de feronerie.
În mod logic, ne-am aștepta ca acest lucru să afecteze doar piața de consum. Deci serverele și centrele de date utilizate atât de diferitele organisme publice, cât și de marile companii care, în teorie, nu ar trebui să fie afectate de acesta. Cu toate acestea, AMD a decis să creeze un program numit PSB, astfel încât producătorii și asamblatorii să-și poată vinde întregul server și nu părți. Motivul din spatele ei? Există o piață second-hand în care procesoarele EPYC deja scoase de pe serverele lor sunt folosite pentru servere și centre de date second-hand.
Cu alte cuvinte, atunci când o companie își aruncă vechiul server sau centru de date, nu îl aruncă, ci își vinde părțile pentru a recupera o parte din investiție. Acest lucru creează concurență suplimentară pentru producătorii de servere. Deoarece pot considera că este mai atractiv pentru clienții lor să construiască ei înșiși un server și să-l întrețină ei înșiși, acest lucru abuzează de una dintre caracteristicile de securitate EPYC ale AMD pentru a bloca clienții într-o anumită marcă.
Cum fac ei lacătul?
Pentru ca un procesor de server AMD EPYC să funcționeze doar cu un anumit model de placă de bază și pe piața de servere second-hand, producătorii abuzează de procesul de certificare de pornire oferit de PSB pentru a lega procesoarele de serverele lor specifice, ceea ce înseamnă că nu putem asocia anumite procesoare, cu excepția anumitor plăci de server.
Pentru a înțelege întregul proces, trebuie să plecăm de la faptul că atunci când producătorul a terminat de creat PC-ul, de orice tip ar fi acesta, se execută un proces în care se creează imaginea de boot stocată în ROM și care va include două chei asociate. , ambele cu o dimensiune de 4096 biți și Codificare SHA-384 . Primul va fi stocat în ROM-ul sistemului și se va reflecta în firmware-ul de pornire. Cel de-al doilea, pe de altă parte, va face acest lucru în cadrul HSM, un hardware responsabil de generarea cheilor criptate criptografic și, de asemenea, de decodarea acestora.
Ambele chei fac parte din Public Key Infrastructure și sunt folosite pentru a semna conținutul unui certificat care se găsește în ROM-ul de boot de pe placa de bază și care include codul de identificare al procesorului și restul elementelor hardware. Dacă unul dintre aceste elemente lipsește din sistem, atunci PSB pur și simplu nu va permite sistemului să pornească.
