Процесс загрузки любого компьютера может быть скомпрометирован, если нет мер безопасности для его защиты. AMDБезопасная загрузка платформы или PSB является одним из механизмов, гарантирующих целостность в этом отношении, но производители также могут злоупотреблять им, чтобы привязать вас к конкретному оборудованию.
Производителям компьютеров гораздо выгоднее продать компьютер целиком, чем обновлять его частями от разных брендов, это неоспоримый факт, и именно поэтому большинство готовых компьютеров несут искусственные ограничения, чтобы вы были привязаны к конкретному бренду.
Если мы добавим к этому, что AMD в течение многих лет была гадким утенком для различных производителей компьютеров, и ей пришлось очень упорно бороться, чтобы заставить определенные крупные бренды использовать свои процессоры и процессоры других производителей. Intel. Итак, ясно, что им пришлось выполнить какое-то задание, чтобы удовлетворить интересы своих партнеров. Одним из самых спорных является Безопасная загрузка платформы или PSB , которая обслуживала таких производителей, как Dell или Lenovo привязать процессоры Ryzen, Threadripper и EPYC компании во главе с Лизой Су исключительно к своему оборудованию.
Как заинтересованность производителей привязать вас к своей платформе связана с системой защиты загрузки AMD? Что ж, давайте объясним это вам.
Что такое AMD PSB?
В BIOS UEFI хранится во флэш-памяти на материнская плата, который, поскольку он энергонезависим Оперативная память адресуется, как если бы он был частью основной памяти. Бывают случаи, когда даже при всех мерах защиты вредоносное ПО все же может внедрить код в прошивку и выполнить несанкционированное обновление. Не будем забывать, что процесс загрузки устанавливает расположение определенных открытых и закрытых ключей, используемых только процессором безопасности.
Это означает, что если мы не используем модуль TPM на нашем ПК с процессором AMD, то наша конфиденциальная информация, такая как связанная с сертификатами проверки, которые мы используем для взаимодействия с нашим банком, хранится через FTPM который находится в загрузочной прошивке, поэтому для его защиты необходимо добавить дополнительные меры безопасности.
Безопасная загрузка платформы AMD или PSB — это одна из мер безопасности, встроенных в процессор безопасности процессоров AMD. Его полезность заключается не в чем ином, как в предотвращении выполнения микропрограммы, связанной с процессом загрузки, которая была изменена в злонамеренных целях. Для этого он создает цепочку доверия, отвечающую за аутентификацию всех прошивок, которые ЦП доступ, когда мы запускаем компьютер, включая BIOS и запуск операционной системы.
Как это работает?
PSB обеспечивает более высокий уровень безопасности, чем может обеспечить сам UEFI BIOS, поскольку он проверяет содержимое памяти, в которой содержится все, что находится в программе загрузки. Он делает это через цепочку доверия, выполняемую исключительно аппаратно и без каких-либо внешних программ, прежде чем будет выполнен весь процесс запуска.
- Он выполняет проверку первого блока BIOS/UEFI, при этом посылает сигнал на вывод HOLD процессора, чтобы он не запускался во время проверки.
- Он отвечает за проверку содержимого системного ПЗУ, эта память содержит резервную копию основных функций BIOS и содержит в неизменном виде весь процесс загрузки. Обратите внимание, что новые обновления функций BIOS не связаны с загрузкой системы.
- Процессор безопасности выполняет сравнение между содержимым ПЗУ и прошивкой, хранящейся в UEFI, для проверки любых несанкционированных изменений. После этого он освобождает ЦП, чтобы ПК мог загружаться без проблем.
AMD Безопасность Процессор или процессор безопасности платформы — это небольшой микроконтроллер с наивысшим уровнем привилегий для доступа к оперативной памяти и системным периферийным устройствам. Он оценивается на ARM Cortex-A5 и благодаря низкому энергопотреблению может работать с компьютером в спящем или ждущем режиме. Так что это будет первый процессор, который будет поставлен на отметку, когда мы включим наш ПК или выведем его из одного из режимов низкого потребления.
Как производители злоупотребляют AMD PSB?
В последнее время мы наблюдаем не только движение в сторону интеграции, но и то, что в разгар этого процесса атакуется одна из основ, определяющих ПК с момента его создания: возможность расширения и настройки пользователем. Большинство производителей пришли к опасному выводу, что тот факт, что мы можем расширить возможности нашего ПК, влияет на покупку будущих продуктов. Таким образом, возникла полемика о праве на ремонт перед лицом практики различных сборщиков и производителей оборудования.
Логично предположить, что это коснется только потребительского рынка. Так что серверы и дата-центры используются как разными государственными органами, так и крупными компаниями, которые по идее не должны на это влиять. Однако AMD решила создать программу под названием PSB, чтобы производители и сборщики могли продавать свои серверы целиком, а не частями. Причина этого? Существует подержанный рынок, где процессоры EPYC, уже снятые с серверов, используются для подержанных серверов и центров обработки данных.
Другими словами, когда компания выбрасывает свой старый сервер или центр обработки данных, она не выбрасывает его, а продает его части, чтобы возместить часть вложенных средств. Это создает дополнительную конкуренцию производителям серверов. Поскольку они могут счесть более привлекательным для своих клиентов самостоятельно построить сервер и самостоятельно его обслуживать, это злоупотребляет одной из функций безопасности AMD EPYC, чтобы привязать клиентов к определенному бренду.
Как делают замок?
Чтобы серверный ЦП AMD EPYC работал только с определенной моделью материнской платы и рынком подержанных серверов, производители злоупотребляют процессом сертификации загрузки, предоставляемым PSB, чтобы привязать процессоры к своим конкретным серверам, что означает, что мы не можем выполнить сопряжение. определенные процессоры, за исключением некоторых серверных плат.
Чтобы понять весь процесс, мы должны начать с того, что, когда производитель закончил создание ПК, какого бы типа он ни был, выполняется процесс, в котором создается загрузочный образ, хранящийся в ПЗУ, и который будет включать в себя два связанных ключа , как размером 4096 бит, так и Кодировка SHA-384 . Первый будет сохранен в системном ПЗУ и будет отражен в загрузочной прошивке. Второй, с другой стороны, будет делать это в HSM, аппаратном обеспечении, отвечающем за создание криптографически зашифрованных ключей, а также за их декодирование.
Оба ключа являются частью инфраструктуры открытых ключей и используются для подписи содержимого сертификата, находящегося в загрузочном ПЗУ на материнской плате и включающего идентификационный код процессора и остальных аппаратных элементов. Если в системе отсутствует один из этих элементов, то PSB просто не даст системе загрузиться.
