Startprocessen för vilken dator som helst kan äventyras om det inte finns några säkerhetsåtgärder för att skydda den. AMD's Platform Secure Boot eller PSB är en av mekanismerna som garanterar integritet i detta avseende, men den kan också missbrukas av tillverkare för att binda dig till specifik hårdvara.
Det är mycket mer lönsamt för datortillverkare att sälja en hel dator än att uppdatera den med delar från olika märken, det är ett obestridligt faktum och det är därför de flesta färdigbyggda datorer har konstgjorda begränsningar så att man är bunden till ett specifikt märke.
Lägger vi till detta att AMD under många år har varit den fula ankungen för de olika datortillverkarna och har fått kämpa hårt för att få vissa stora märken att använda sina CPU:er och de av Intel. Så det är klart att de har varit tvungna att göra ett uppdrag för att gynna sina partners intressen. En av de mest kontroversiella är Platform Secure Boot eller PSB , som har tjänat tillverkare som Dell eller lenovo att knyta Ryzen-, Threadripper- och EPYC-processorerna från företaget som leds av Lisa Su exklusivt till deras hårdvara.
Hur förhåller sig tillverkarnas intresse av att knyta dig till sin plattform med AMD:s startskyddssystem? Nåväl, låt oss förklara det för dig.
Vad är AMD PSB?
Inom BIOS lagras UEFI i flashminnet på moderkort, vilket eftersom det är icke-flyktigt RAM adresseras som om det vore en del av huvudminnet. Det finns tillfällen då skadlig programvara, även med alla skyddsåtgärder, fortfarande kan injicera kod i den fasta programvaran och utföra en otillåten uppdatering. Låt oss inte glömma att startprocessen fastställer platsen för vissa offentliga och privata nycklar, som endast används av säkerhetsprocessorn.
Detta innebär att om vi inte använder en TPM-modul i vår PC med en AMD-processor, så lagras vår konfidentiella information som den som är relaterad till de valideringscertifikat som vi använder för att interagera med vår bank via fTPM som finns i startfirmwaren, därför måste ytterligare säkerhetsåtgärder läggas till för att skydda den.
AMD Platform Secure Boot eller PSB är en av säkerhetsåtgärderna inbyggd i säkerhetsprocessorn inuti AMD-processorer. Dess användbarhet är ingen annan än att förhindra exekvering av en firmware relaterad till startprocessen som har modifierats i skadliga syften. För att göra detta skapar den en förtroendekedja som är ansvarig för att autentisera all firmware som CPU åtkomst när vi startar datorn, inklusive BIOS och start av operativsystemet.
Hur fungerar det?
PSB lägger till en högre säkerhetsnivå än vad UEFI BIOS själv kan ge, eftersom det validerar innehållet i minnet som innehåller allt i startprogrammet. Den gör detta genom en förtroendekedja som exekveras enbart genom hårdvara och utan några externa program innan hela startprocessen exekveras.
- Den utför valideringen av det första blocket i BIOS/UEFI, medan den gör detta skickar den en signal till HOLD-stiftet på CPU:n så att den inte startar medan den utför verifieringen.
- Det är ansvarigt för att verifiera innehållet i system-ROM, detta minne innehåller en säkerhetskopia av de grundläggande funktionerna i BIOS och innehåller hela startprocessen på ett oföränderligt sätt. Observera att nya BIOS-funktionsuppdateringar inte är relaterade till systemstart.
- Säkerhetsprocessorn utför jämförelsen mellan innehållet i ROM och den fasta programvaran som lagras av UEFI för att kontrollera om det finns några obehöriga ändringar. Efter att ha gjort detta frigör det CPU så att datorn kan startas upp utan problem.
AMD Säkerhet Processor eller Platform Security Processor är en liten mikrokontroller med högsta behörighetsnivå för åtkomst till RAM-minne och kringutrustning. Den är betygsatt på en ARM Cortex-A5 och på grund av sin låga strömförbrukning kan den fungera med datorn i vilo- eller standbyläge. Så det blir den första processorn som sätts på märket när vi sätter på vår PC eller tar ut den från ett av lågförbrukningslägena.
Hur missbrukar tillverkare AMD PSB?
På senare tid ser vi inte bara hur det finns rörelser mot integration, utan också att mitt i denna process en av baserna som har definierat PC:n sedan starten attackeras: kapaciteten för expansion och konfigurering av användaren. De flesta tillverkare har kommit till den farliga slutsatsen att det faktum att vi kan utöka kapaciteten på vår PC påverkar köpet av framtida produkter. Därför har kontroversen om rätten att reparera dykt upp inför praxis hos olika montörer och hårdvarutillverkare.
Logiskt sett skulle man förvänta sig att detta endast skulle påverka konsumentmarknaden. Så de servrar och datacenter som används av både de olika offentliga organen och stora företag som i teorin inte borde påverkas av det. AMD bestämde sig dock för att skapa ett program som heter PSB så att tillverkare och montörer kunde sälja hela sina servrar och inte delar. Anledningen bakom det? Det finns en andrahandsmarknad där EPYC-processorer som redan tagits bort från sina servrar används för begagnade servrar och datacenter.
Med andra ord, när ett företag slänger sin gamla server eller datacenter, slänger det inte det, utan säljer sina delar för att få tillbaka en del av investeringen. Detta skapar ytterligare konkurrens för servertillverkarna. Eftersom de kan tycka att det är mer attraktivt för sina kunder att själva bygga en server och underhålla den själva, missbrukar detta en av AMD:s EPYC-säkerhetsfunktioner för att låsa kunder till ett visst varumärke.
Hur gör de låset?
För att få en AMD EPYC-server CPU att bara fungera med en specifik modell av moderkort och begagnade servrar, missbrukar tillverkare startcertifieringsprocessen som tillhandahålls av PSB för att knyta processorer till sina specifika servrar, vilket innebär att vi inte kan para ihop vissa processorer utom med vissa serverkort.
För att förstå hela processen måste vi utgå från det faktum att när tillverkaren har skapat färdigt PC:n, vilken typ det än kan vara, exekveras en process där startbilden som är lagrad i ROM skapas och som kommer att innehålla två associerade nycklar , både med en storlek på 4096 bitar och SHA-384-kodning . Den första kommer att lagras i system-ROM och kommer att återspeglas i Boot Firmware. Den andra kommer å andra sidan att göra det inom HSM, en hårdvara som ansvarar för att generera kryptografiskt krypterade nycklar och även avkoda dem.
Båda nycklarna är en del av Public Key Infrastructure och används för att signera innehållet i ett certifikat som finns i start-ROM på moderkortet och som inkluderar identifikationskoden för processorn och resten av hårdvaruelementen. Om något av dessa objekt saknas i systemet, kommer PSB helt enkelt inte att tillåta systemet att starta.
