AMD zřejmě v BIOSu desek umožní vypnout Secure Processor, svou verzi Intel ME

19. 12. 2017

Sdílet

 Autor: AMD

Kolem Intel Management Engine (a bezpečnostních otázkách spojených s ním) se toho v poslední době hodně děje, naposled jsme tu měli zprávu o chystané hardwarové ochraně proti tzv. „rollbacku“. Nějaké dění na tomto poli se ale nyní rozproudilo také u konkurenčního AMD, které implementovalo podobné technologie do privilegované bezpečnostní a řídící jednotky nazvané AMD Secure Processor a potenciálně s ní tedy čelí stejným problémům.

Ačkoliv tato kritika není tak hlasitá, také AMD je existence Secure Processsoru (nebo také Platform Security Processoru, PSP) vyčítána jako možné bezpečnostní riziko, jelikož jde o skrytý a nedokumentovaný systém s přístupem k hardwaru, jehož ovládnutím útočník asi může získat kontrolu nad počítačem nebo jej může teoreticky použít jako backdoor. AMD bylo proto vyzýváno, aby kód tohoto systému alespoň otevřelo, což však z různých důvodů nebylo uskutečněno. Uživatelé, kterým jsou ME či PSP proti srsti, ale zdá se dostanou určitou úlitbu.

Software AGESA, který tvoří základ firmwaru pro procesory AMD a jejich základní desky, totiž zřejmě dostal podporu pro „vypnutí“ PSP/Secure Processoru. Výrobci desek tak budou moci volbu pro vypnutí jeho funkcí přidat do BIOSů (respektive UEFI), přičemž někteří již zdá se podporu chystají.

AMD Secure Processor je separátní subsystém podobný Intel ME. Má větší privilegia než samotný systém AMD Secure Processor je separátní subsystém podobný Intel ME. Má větší privilegia než samotný systém

Režim bez PSP nebude zřejmě bezpečnostní subsystém vypínat v pravém slova smyslu, protože počítač ho ke svému chodu potřebuje. Ovšem měl by jej podle dostupných informací „izolovat“. Podle informací, které poskytl ASRock, by to mělo spočívat v tom, že UEFI nespustí svůj ovladač pro komunikaci hlavního procesoru s PSP. Tyto dvě komponenty spolu za běžných okolností normálně „mluví“ pomocí speciálních registrů a „vypnutí PSP“ tak znamená, že bude možnost komunikace přerušena.

V tomto režimu bude PSP tedy uvnitř dál provádět svou práci, ale nebudou dostupné jeho bezpečnostní a další funkce, hlavní procesor a operační systém se k nim nebude moct dostat. Komunikace by měla být přerušena i z druhé strany, tedy PSP nebude moci těmito registry komunikovat s hlavním CPU. Uživatel tímto logicky přijde o některé funkce, které se o PSP opírají. Například nebude fungovat možnost úsporného režimu „Secure S3“, tedy zašifrování paměti před uspáním počítače do RAM. Nebude také dostupný bezpečnostní modul fTPM, který je implementován pomocí PSP, takže ho nebude možné použít k šifrování disku třeba BitLockerem.

ICTS24

Možnost vypnutí AMS Secure Processoru (PSP) v BIOSu desky ASRock (Zdroj: Reddit) Možnost vypnutí AMD Secure Processoru (PSP) v BIOSu desky ASRock (Zdroj: Reddit)

Vypínání PSP u ASRocku, Asusu, Gigabyte

Možnost takto PSP izolovat či vypnout nemusí asi být dostupná u všech základních desek, pravděpodobně bude na jejich výrobcích, zda ji v konkrétních modelech zpřístupní. Režim se zablokovaným PSP totiž asi má různé vedlejší účinky potenciálně vedoucí k chybám či nestabilitě, které je třeba ošetřit. Podle toho, co se zatím objevilo na různých zákoutích internetu, by se možnost mohla objevit u některých desek ASRocku jako položka „BIOS PSP Support“. U některých desek Gigabyte je zřejmě tato možnost už na místě, ale nezobrazuje se, avšak v poslední verzi (obsahující nový kód AGESA) ji lze zviditelnit malou editací obrazu BIOSu. Asus údajně také chystá podporu, až se podaří odladit různé problémy.

Vzhledem k tomu, že PSP zůstává stále zapnuté a jeho program uvnitř běží, asi tato možnost neuspokojí největší nedůvěřivce. Mělo by to ale asi představovat zlepšení situace a tato izolace PSP od operačního systému a hlavního CPU systému by mohla snížit šanci na napadení kvůli nějakým zranitelnostem v kódu této jednotky. Do jaké míry ale půjde o reálné zlepšení bezpečnosti, to řeknou až nějaké hlubší analýzy poté, co BIOSy s možností vypnout PSP budou veřejně dostupné.