Datenschutz & Sicherheit

Linuxer ärgert sich über AMD wegen Abschaltung der RAM-Verschlüsselung TSME


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Viele Prozessoren von AMD – aber nicht alle – können den Arbeitsspeicher transparent ver- und entschlüsseln. Diese Funktion namens Transparent Secure Memory Encryption (TSME) schützt vor sehr wenigen und sehr speziellen physischen Angriffen auf Computer. Dabei geht es vor allem um sogenannte „Cold Boot“-Attacken, für die physischer Zugriff auf den Rechner nötig ist, um im RAM gespeicherte Informationen zu ergattern.

Weiterlesen nach der Anzeige

TSME ließ sich bis vor kurzem auf manchen Mainboards auch bei einigen Ryzen-Prozessoren für Desktop-PCs aktivieren, für die AMD die Funktion nicht zugesichert oder beworben hat. Mit einer neuen Version der AMD-Firmware-Komponente AGESA entfällt diese Möglichkeit nun. Das verärgert einige Besitzer solcher Prozessoren. Einer davon hat deshalb im GitHub-Repository für AMD Secure Encryted Virtualization (AMD SEV) eine Fehlermeldung eingestellt.

Funktion nur für PROfis

Vermutlich wird sich AMD allerdings nicht erweichen lassen, TSME für sämtliche Ryzen-Prozessoren wieder freizuschalten. Denn die 2016 angekündigte Funktion ist vor allem für Server, manche Embedded Systems, Business-PCs und -Notebooks gedacht. AMD aktiviert sie daher nur bei den CPU-Baureihen Epyc, manchen Embedded-CPUs sowie den „PRO“-Versionen der Ryzens für Desktop-PCs und Notebooks.

Einst bewarb AMD TSME als Bestandteil von „Memory Guard“, das wiederum Teil von „Guard MI“ war und das wiederum Teil der Vorteile von PRO-Ryzens im Vergleich zu normalen. Diese Marketing-Idee ist auf dem AMD-Server jetzt nicht mehr zu finden.

Mittlerweile erwähnt AMD TSME im Zusammenhang mit dem „Infinity Guard“-Funktionspaket der Epyc-Prozessoren für Server.

Weiterlesen nach der Anzeige

TSME lässt sich ohnehin nur aktivieren, wenn das (UEFI-)BIOS des jeweiligen Computers mitspielt. Dazu muss nicht unbedingt eine Option im BIOS-Setup vorhanden sein, falls das UEFI-BIOS TSME einfach einschaltet.

In diesem Sinne ist TSME eine typische Funktion für Business-Geräte, deren jeweiliger Hersteller bei der Implementierung eng mit AMD zusammenarbeitet und das Feature auch ausdrücklich im Datenblatt des jeweiligen Geräts erwähnt.

Seltener Cold-Boot-Angriff

Beim Cold-Boot-Angriff startet ein Angreifer den laufenden Rechner durch einen Reset neu und bootet darauf sofort ein speziell präpariertes Betriebssystem, das den RAM-Inhalt ausliest. 2008 wiesen Sicherheitsforscher nach, dass das tatsächlich funktioniert.

TSME erschwert diesen Angriff deutlich, der allerdings in der Praxis extrem selten vorkommen dürfte. Zudem gibt es auch andere Schutzmethoden, etwa das Löschen des RAM vor jedem Bootvorgang (TCG Platform Reset Attack Mitigation Specification).


(ciw)



Source link

Verwandte Themen:

Beliebt

Die mobile Version verlassen