Korumak için herhangi bir güvenlik önlemi yoksa, herhangi bir bilgisayarın önyükleme işlemi tehlikeye girebilir. AMDPlatform Güvenli Önyükleme veya PSB bu konuda bütünlüğü garanti eden mekanizmalardan biridir, ancak üreticiler tarafından sizi belirli bir donanıma bağlamak için kötüye de kullanılabilir.
Bilgisayar üreticilerinin farklı markaların parçalarıyla güncellemektense bir bilgisayarı komple satmaları çok daha karlı, bu yadsınamaz bir gerçektir ve bu yüzden önceden oluşturulmuş bilgisayarların çoğu yapay sınırlamalar taşır, böylece belirli bir markaya bağlı kalırsınız.
Buna, AMD'nin yıllardır farklı bilgisayar üreticileri için çirkin ördek yavrusu olduğunu ve bazı büyük markaların CPU'larını ve diğerlerinin CPU'larını kullanmasını sağlamak için çok mücadele etmek zorunda kaldığını da eklersek. Intel. Bu nedenle, ortaklarının çıkarlarına fayda sağlamak için bazı görevler yapmak zorunda oldukları açıktır. En tartışmalı konulardan biri, Platform Güvenli Önyükleme veya PSB Dell gibi üreticilere hizmet vermiş olan veya Lenovo Lisa Su liderliğindeki şirketin Ryzen, Threadripper ve EPYC CPU'larını yalnızca donanımlarına bağlamak.
Üreticilerin sizi kendi platformlarına bağlama konusundaki ilgileri, AMD'nin önyükleme koruma sistemiyle nasıl ilişkilidir? Peki, size açıklayalım.
AMD PSB nedir?
BIOS içinde UEFI, bilgisayardaki flash bellekte saklanır. anakart, uçucu olmadığı için RAM ana belleğin bir parçasıymış gibi adreslenir. Tüm koruma önlemlerine rağmen, kötü amaçlı yazılımların bellenime kod enjekte edip yetkisiz bir güncelleme gerçekleştirebildiği zamanlar vardır. Unutmayalım ki önyükleme işlemi, yalnızca güvenlik işlemcisi tarafından kullanılan belirli genel ve özel anahtarların konumunu belirler.
Bu, AMD işlemcili PC'mizde TPM modülü kullanmıyorsak, bankamızla etkileşim kurmak için kullandığımız doğrulama sertifikalarına ilişkin bilgiler gibi gizli bilgilerimiz aracılığıyla depolandığı anlamına gelir. ftPM Bu, önyükleme belleniminde bulunur, bu nedenle, onu korumak için ek güvenlik önlemleri eklenmelidir.
AMD Platform Güvenli Önyükleme veya PSB, AMD CPU'ların içindeki güvenlik işlemcisinde yerleşik olarak bulunan güvenlik önlemlerinden biridir. Yararlılığı, kötü amaçlarla değiştirilmiş önyükleme işlemiyle ilgili bir üretici yazılımının yürütülmesini engellemekten başka bir şey değildir. Bunu yapmak için, tüm üretici yazılımının kimliğini doğrulamaktan sorumlu olan bir güven zinciri oluşturur. işlemci BIOS ve işletim sisteminin başlatılması dahil, bilgisayarı başlattığımızda erişir.
Nasıl Çalışır?
PSB, önyükleme programındaki her şeyi içeren belleğin içeriğini doğruladığı için UEFI BIOS'un sağlayabileceğinden daha yüksek bir güvenlik düzeyi ekler. Bunu, tüm başlatma işlemi yürütülmeden önce, yalnızca donanım aracılığıyla ve herhangi bir harici program olmadan yürütülen bir güven zinciri aracılığıyla yapar.
- BIOS/UEFI'nin ilk bloğunun doğrulamasını gerçekleştirir, bunu yaparken CPU'nun HOLD pinine bir sinyal gönderir, böylece doğrulama gerçekleştirirken başlamaz.
- Sistem ROM'unun içeriğini doğrulamaktan sorumludur, bu bellek BIOS'un temel işlevlerinin yedek bir kopyasını içerir ve tüm önyükleme sürecini değişmez bir şekilde içerir. Yeni BIOS özellik güncellemelerinin sistem önyüklemesi ile ilgili olmadığını unutmayın.
- Güvenlik işlemcisi, yetkisiz değişiklikleri kontrol etmek için ROM'un içeriği ile UEFI tarafından depolanan üretici yazılımı arasında karşılaştırma yapar. Bunu yaptıktan sonra, PC'nin sorunsuz bir şekilde açılabilmesi için CPU'yu serbest bırakır.
AMD Güvenlik İşlemci veya Platform Güvenlik İşlemcisi, RAM ve sistem çevre birimlerine erişim için en yüksek ayrıcalık düzeyine sahip küçük bir mikro denetleyicidir. Bir ARM Cortex-A5 ve düşük güç tüketimi nedeniyle bilgisayarla uyku veya bekleme modunda çalışabilir. Yani PC'mizi açtığımızda ya da düşük tüketim modlarından birinden çıkardığımızda damgasını vuran ilk işlemci olacak.
Üreticiler AMD PSB'yi nasıl kötüye kullanıyor?
Son zamanlarda sadece entegrasyona yönelik hareketlerin olduğunu değil, aynı zamanda bu sürecin ortasında PC'yi başlangıcından bu yana tanımlayan temellerden birinin saldırıya uğradığını görüyoruz: kullanıcı tarafından genişleme ve konfigürasyon kapasitesi. Çoğu üretici, bilgisayarımızın yeteneklerini genişletebilmemizin gelecekteki ürünlerin satın alınmasını etkilediği gibi tehlikeli bir sonuca varmıştır. Dolayısıyla farklı montajcıların ve donanım üreticilerinin uygulamaları karşısında onarım hakkı tartışması ortaya çıkmıştır.
Mantıksal olarak, bunun yalnızca tüketici pazarını etkilemesi beklenebilir. Dolayısıyla hem farklı kamu kurumları hem de büyük şirketler tarafından kullanılan sunucular ve veri merkezleri teoride bundan etkilenmemelidir. Ancak AMD, üreticilerin ve montajcıların parçalarını değil tüm sunucularını satabilmeleri için PSB adlı bir program oluşturmaya karar verdi. Arkasındaki sebep? Sunucularından çıkarılan EPYC işlemcilerin ikinci el sunucular ve veri merkezleri için kullanıldığı bir ikinci el piyasası var.
Başka bir deyişle, bir şirket eski sunucusunu veya veri merkezini attığında, onu atmaz, yatırımın bir kısmını geri kazanmak için parçalarını satar. Bu, sunucu üreticileri için ek rekabet yaratır. Müşterileri için bir sunucuyu kendilerinin kurmasını ve bakımını yapmasını daha çekici bulabileceklerinden, bu, müşterileri belirli bir markaya kilitlemek için AMD'nin EPYC güvenlik özelliklerinden birini kötüye kullanır.
Kilidi nasıl yapıyorlar?
Bir AMD EPYC sunucu CPU'sunun yalnızca belirli bir anakart modeliyle ve ikinci el sunucu pazarıyla çalışmasını sağlamak için üreticiler, işlemcileri kendi sunucularına bağlamak için PSB tarafından sağlanan önyükleme sertifikasyon sürecini kötüye kullanır; bu, eşleştirme yapamayacağımız anlamına gelir. belirli sunucu kartları hariç belirli işlemciler.
Tüm süreci anlamak için, üretici, türü ne olursa olsun, PC'yi oluşturmayı bitirdiğinde, ROM'da depolanan önyükleme görüntüsünün oluşturulduğu ve ilişkili iki anahtarı içerecek bir işlemin yürütüldüğü gerçeğinden başlamalıyız. , her ikisi de 4096 bit boyutunda ve SHA-384 kodlaması . İlki sistem ROM'unda depolanacak ve Önyükleme Ürün Yazılımına yansıtılacaktır. İkincisi ise bunu, kriptografik olarak şifrelenmiş anahtarlar üretmekten ve aynı zamanda bunların kodunu çözmekten sorumlu bir donanım olan HSM içinde yapacaktır.
Her iki anahtar da Ortak Anahtar Altyapısının bir parçasıdır ve anakarttaki önyükleme ROM'unda bulunan ve işlemcinin kimlik kodunu ve donanım öğelerinin geri kalanını içeren bir sertifikanın içeriğini imzalamak için kullanılır. Bu öğelerden biri sistemde eksikse, PSB sistemin önyüklemesine izin vermez.
