// HEISE ONLINE — HARDWARE & GADGET
Linuxer ärgert sich über AMD wegen Abschaltung der RAM-Verschlüsselung TSME
Neuere Versionen der UEFI-BIOS-Komponente AGESA schalten bei manchen AMD-Ryzen-Prozessoren eine Funktion ab, die sie nie haben sollten – das verärgert manche.
This article is also available in
English.
It was translated with technical assistance and editorially reviewed before publication.
Viele Prozessoren von AMD – aber nicht alle – können den Arbeitsspeicher transparent ver- und entschlüsseln. Diese Funktion namens Transparent Secure Memory Encryption (TSME) schützt vor sehr wenigen und sehr speziellen physischen Angriffen auf Computer. Dabei geht es vor allem um sogenannte „Cold Boot“-Attacken, für die physischer Zugriff auf den Rechner nötig ist, um im RAM gespeicherte Informationen zu ergattern.
TSME ließ sich bis vor kurzem auf manchen Mainboards auch bei einigen Ryzen-Prozessoren für Desktop-PCs aktivieren, für die AMD die Funktion nicht zugesichert oder beworben hat. Mit einer neuen Version der AMD-Firmware-Komponente AGESA entfällt diese Möglichkeit nun. Das verärgert einige Besitzer solcher Prozessoren. Einer davon hat deshalb im GitHub-Repository für AMD Secure Encryted Virtualization (AMD SEV) eine Fehlermeldung eingestellt.
Vermutlich wird sich AMD allerdings nicht erweichen lassen, TSME für sämtliche Ryzen-Prozessoren wieder freizuschalten. Denn die 2016 angekündigte Funktion ist vor allem für Server, manche Embedded Systems, Business-PCs und -Notebooks gedacht. AMD aktiviert sie daher nur bei den CPU-Baureihen Epyc, manchen Embedded-CPUs sowie den „PRO“-Versionen der Ryzens für Desktop-PCs und Notebooks.
Einst bewarb AMD TSME als Bestandteil von „Memory Guard“, das wiederum Teil von „Guard MI“ war und das wiederum Teil der Vorteile von PRO-Ryzens im Vergleich zu normalen. Diese Marketing-Idee ist auf dem AMD-Server jetzt nicht mehr zu finden.
Mittlerweile erwähnt AMD TSME im Zusammenhang mit dem „Infinity Guard“-Funktionspaket der Epyc-Prozessoren für Server.
TSME lässt sich ohnehin nur aktivieren, wenn das (UEFI-)BIOS des jeweiligen Computers mitspielt. Dazu muss nicht unbedingt eine Option im BIOS-Setup vorhanden sein, falls das UEFI-BIOS TSME einfach einschaltet.
In diesem Sinne ist TSME eine typische Funktion für Business-Geräte, deren jeweiliger Hersteller bei der Implementierung eng mit AMD zusammenarbeitet und das Feature auch ausdrücklich im Datenblatt des jeweiligen Geräts erwähnt.
Beim Cold-Boot-Angriff startet ein Angreifer den laufenden Rechner durch einen Reset neu und bootet darauf sofort ein speziell präpariertes Betriebssystem, das den RAM-Inhalt ausliest. 2008 wiesen Sicherheitsforscher nach, dass das tatsächlich funktioniert.