Иллюзия безопасности. AMD тихо забрала шифрование памяти у части процессоров Ryzen
Защита памяти часто остаётся незаметной, пока не выясняется, что привычный механизм больше не работает: пользователи процессоров AMD Ryzen обнаружили исчезновение TSME в потребительских моделях без предупреждения со стороны AMD.
TSME, или Transparent Secure Memory Encryption, шифрует всё содержимое оперативной памяти. Такая защита помогает снижать риск физических атак, при которых злоумышленник пытается извлечь данные из модулей памяти, например, после перезагрузки или при прямом доступе к устройству. Раньше механизм работал не только в профессиональных процессорах AMD, но и в части потребительских Ryzen.
Проблему заметил пользователь Linux Бен Килпатрик при установке новой системы на компьютере с Ryzen 7 9700X. Проверка через Host Security ID показала, что шифрование памяти больше не поддерживается, хотя функция была включена в BIOS. Ранее та же проверка показывала, что память шифруется.
После нескольких месяцев проверки инженеры MSI выяснили, что поведение зависит от версии AGESA, компонента AMD, участвующего в запуске оборудования до загрузки операционной системы. Со старой версией AGESA TSME включалась на потребительских Ryzen, а с AGESA 1.2.7.0 защита уже отображалась как недоступная. На процессорах Ryzen Pro механизм продолжал работать на разных платах и версиях BIOS.
Дополнительные дампы AMD Boot Loader показали, что внутренний флаг DfIsTsmeEnabled остаётся выключенным на потребительских процессорах, даже когда TSME включена в BIOS. Для Ryzen Pro и EPYC тот же флаг включался при соответствующей настройке. AMD в ответ заявила только, что TSME относится к функциям безопасности AMD PRO Technologies для процессоров PRO, но не объяснила, почему механизм раньше работал на обычных Ryzen.
Компания, судя по исходным данным, не рекламировала TSME как функцию потребительских процессоров, но комментарии инженеров AMD и многолетняя работа защиты на таких чипах создали у части пользователей ожидание, что механизм относится к возможностям платформы. Главная претензия связана не только с самим ограничением, но и с тем, что изменение произошло без заметного уведомления и трудно выявлялось, особенно на Windows.
Пока AMD не дала технического объяснения, пользователям не стоит считать потребительские Ryzen защищёнными TSME только из-за настройки в BIOS. Проверять фактическое состояние шифрования памяти можно через инструменты вроде Host Security ID на Linux, а если защита от физических атак критична, лучше заранее уточнять поддержку TSME для конкретной модели процессора и версии прошивки.