Speicherverschlüsselung: AMD entfernt TSME-Unterstützung für Ryzen-Prozessoren

HWL News Bot

HWL News Bot

News
Thread Starter
Mitglied seit
06.03.2017
Beiträge
121.789
Vor rund zehn Jahren führte AMD bei seinen High-End-Prozessoren eine zusätzliche Sicherheitsfunktion ein, die Systeme vor sogenannten Cold-Boot-Angriffen und weiteren physischen Angriffsszenarien schützen sollte. Ziel dieser Maßnahmen ist es, das Auslesen sensibler Daten aus angeschlossenen Speicherbausteinen zu verhindern. Die Technik trägt die Bezeichnung Transparent Secure Memory Encryption (TSME) und verschlüsselt den gesamten Inhalt des Arbeitsspeichers. Dadurch werden die dort abgelegten Daten für Angreifer, die physischen Zugriff auf das System besitzen, unbrauchbar.
... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Müssen wir uns Sorgen machen, haben sie Kenny getötet? :fresse2:

Oh Gott sie haben Kenny getötet.jpg
 
Diese Sicherheitsvorkehrung ist auf Enterpriseprodukten weiterhin verfügbar, es liegt nahe dass die Consumerprodukte daher ebenfalls hardwareseitig nach wie vor fähig dazu sind aber diese Funktion wohl per Microcode / AGESA / soft abgeschalten wurde.
Richtig interessant wäre eine Erklärung seitens AMD warum man eine seit langem unterstütze, schlanke und gut funktionierende Lösung plötzlich und unangekündigt einstellt.
Das muss kritisch hinterfragt werden.
 
Super. Mein 9950X unterstützt jetzt kein TSME mehr. Einen gleichwertigen Prozessor aus der Pro-Serie gibt es nicht. Ein EPYC 4005 wird von meinem Mainboard ebenfalls nicht unterstützt. Ein BIOS-Downgrade ist auch nicht möglich.
 
Möglich ist alles. Man kann sich natürlich auch anders schützen aber im Zeiten von TPM und Secureboot ist das aus meiner Sicht eine gangbare Alternative.
Und wie gesagt es geht nicht darum das man es weg macht, sondern darum das man es still und leise Kommentarlos verschwinden lässt.
Warum kann man das nicht transparent kommunizieren?
 
das ist was anderes als secureboot. es geht darum vor unberechtigten physischen zugriff zu schützen.

warum man das nicht transparent kommuniziert? falls meine theorie zutrifft, wäre es dumm zuzugeben, dass das beworbene feature eigentlich gar nicht exklusiv ist und nur künstlich durch nachträglichen eingriff exklusiv wird. das hätte dann einen ganz faden beigeschmack. hier gehts einfach nur um marketing. "schaut mal was unsere pro-produkte besonderes können. kauft deshalb diese tollen produkte und keine anderen"
klingt doch besser als "eigentlich können das ja alle unsere produkte, aber wir nötigen euch jetzt mal vorsätzlich, die teureren produkte zu kaufen", findeste nicht? ;)
 
Schwinni schrieb:
Bist du ein potentielles Opfer einer Cold-Boot-Attacke?
Zum Vergrößern anklicken....
Vielleicht hat ja ein Angreifer bei ihm unbefugt Speichermodule entfernt. Wobei ich mich frage, wie man danach noch was auslesen will, da DRAM bekanntlich flüchtig ist und mehr als 10mal pro Sekunde einen Refresh braucht, um die Daten nicht zu verlieren. Es würde mich echt interessieren ob es jemand außerhalb von Laborbedingungen je geschafft hätte RAM Riegel aus einem laufenden Rechner zu entfernen und dann noch Daten auszulesen. Aber genau wie ein Cold-Boot-Exploit sind das Angriffe bei denen man physikalischen Zugriff auf den Rechner braucht und dies ist in Firmen und Rechenzentren vielleicht ein Problem, wo man nie allen Mitarbeitern wirklich trauen kann, aber Zuhause wäre das eher ein Dieb, der dann gleich den ganzen Rechner klauen würde. Aber bei den aktuellen RAM Preisen würde er vielleicht auch nur die RAM Riegel klauen um sie zu verkaufen.

zog88 schrieb:
Warum kann man das nicht transparent kommunizieren?
Zum Vergrößern anklicken....
Ja wäre besser gewesen. Aber andererseits haben sie auch nie offen kommuniziert, dass die normalen RYZEN TSME haben, es war eben einfach da und das ist eben das Problem mit solchen Features, die es offiziell nicht gibt: Sie können jederzeit auch wieder verschwinden. Hat schon mal jemand geprüft, ob die ECC RAM Funktion mit dem aktuellen AGESA noch da ist?
 
Luebke schrieb:
das ist halt ein feature, das im privaten umfeld keinen sinn macht.
Zum Vergrößern anklicken....
Durchaus, ich wage sogar zu behaupten, dass es im Firmenumfeld (<=Mittelstand) ebenfalls keine große Rolle spielt.
Bei mobilen Geräten, oder bei festen Home-Office Geräten mit Firmendaten könnte das sinnvoll sein, aber wenn jemand physischen Zugang zu Geräten hat, dann hat man da auch ganz andere Möglichkeiten.

Holt schrieb:
Hat schon mal jemand geprüft, ob die ECC RAM Funktion mit dem aktuellen AGESA noch da ist?
Zum Vergrößern anklicken....
Jap, habe in der Firma an meinem System einen Ryzen 9700X mit einem ASUS PRIME B650-PLUS-CSM und DDR5-5600 ECC Speicher am Laufen.
Da gibt es momentan aber auch einen Bug wo etwas RAM-Speed fehlt:
Starting from AGESA ComboAM5 PI 1.3.0.0, ECC-UDIMM memory speed will be limited to 5200 MT/s when paired with 9000 series CPUs.
Zum Vergrößern anklicken....
Das ist seit dem BIOS vom 2026/02/13 der Fall und wurde bislang nicht gefixt.
 
Holt schrieb:
Vielleicht hat ja ein Angreifer bei ihm unbefugt Speichermodule entfernt. Wobei ich mich frage, wie man danach noch was auslesen will, da DRAM bekanntlich flüchtig ist und mehr als 10mal pro Sekunde einen Refresh braucht, um die Daten nicht zu verlieren. Es würde mich echt interessieren ob es jemand außerhalb von Laborbedingungen je geschafft hätte RAM Riegel aus einem laufenden Rechner zu entfernen und dann noch Daten auszulesen.
Zum Vergrößern anklicken....
Wenn sie dir die den eingeschalteten Laptop klauen und mit Kältespray bearbeiten geht das schon, bei 28:30
 
Ben Kilpatrick hat Kontakt mit AMD aufgenommen, aber keine Antwort erhalten?
Oder lese ich den Satz falsch?

Wieso fragt er bei AMD nach um dann sechs Wochen später bei MSI etwas gesagt zu bekommen?

So ganz unnütz ist das Feature nicht, wir haben es bei einigen Systemen aktiv die schonmal Kundenkontakt haben für Vorführungen.
Sehr gut zu wissen das es rausgeflogen ist.
 
Schmufix schrieb:
Wenn sie dir die den eingeschalteten Laptop klauen
Zum Vergrößern anklicken....
Da sind aber nur selten die Desktop RYZEN CPUs verbaut.
Schmufix schrieb:
mit Kältespray bearbeiten geht das schon
Zum Vergrößern anklicken....
Wobei dann sowieso die Frage wäre, ob dies ein gangbarer und lohnender Angriff wäre, wenn das RAM verlötet ist, kann man dies sowieso vergessen und auch sonst würde ich vermuten, dass Datenverlust durch das Klauen und Auslesen von RAM wohl bestenfalls eine minimalen Prozentsatz aller erfolgreichen Angriffe ausmacht.

Bei den Intel Xeons die Optane RAM Riegel unterstützen, würde ich das ganze Thema ja nachvollziehen können,. da deren 3D XPoint eben nicht flüchtig ist, aber davon abgesehen halte ich diese für ein sehr exotisches Randproblem. Für Heimanwender dürfte es keinerlei Relevanz haben.
 
Zyxx schrieb:
Ben Kilpatrick hat Kontakt mit AMD aufgenommen, aber keine Antwort erhalten?
Oder lese ich den Satz falsch?
Zum Vergrößern anklicken....
Doch, er hat eine Antwort bekommen. Laut AMD wurde "vermutet, dass es sich um einen Fehler im BIOS handelt." Von einem Fehler kann man in der Nachbetrachtung aber sicher nicht sprechen ;)
 
zog88 schrieb:
Richtig interessant wäre eine Erklärung seitens AMD warum man eine seit langem unterstütze, schlanke und gut funktionierende Lösung plötzlich und unangekündigt einstellt.
Zum Vergrößern anklicken....

Whataboutism: Das passiert öfters bei AMD. Durch Zufall habe ich gesehen, dass AMD funktionen der radeon7800xt entfernt hatte. Da jemand anders dieselbe type von Grafikkarte hatte, habe ich dass dann auch nachgestellt. es macht einen Unterschied nur etwas in einem Forum zu lesen, oder mit derselben Type von Powercolor Grafikkarte dies dann auch selbst nachzustellen mit dem Gentoo custom kernel und der linux firmware.

Ich habe es woanders gelesen, es ist eine AGESA / Firmware Sperre seit ~ laut Gedächtnisprotokoll 1.2.7.0

DRAM konnte noch ausgelesen werden nach 15 Minuten was ich vor Jahren gelesen habe mit DDR4. Also ist es relevant ob unverschlüsselt alles im DRAM liegt. Indirket habe ich mich damit beschaeftigt. Jetzt erinnere ich mich. Ich hatte einen Container offen und das zugehörige Key File gelöscht, aber solange der Kernel den Schlüssel besitzt, der im DRAM liegt, braucht der nicht als Key file vorliegen.

Für bösartige Entitäten ist es sehr vorteilhaft wenn der DRAM jetzt unverschlüsselt um leichter Zugriff an die Daten zu erhalten.

TPM und Secure Boot bringen mir nichts. Für mich sind beide Begriffe in diesem Thema fehl am Platz.
 
Es gibt unserer Kenntnis nach keine Hinweise darauf, dass AMD die Verfügbarkeit von Transparent Secure Memory Encryption (TSME) in Consumer-Prozessoren jemals aktiv beworben oder als offizielles Ausstattungsmerkmal hervorgehoben hat.
Zum Vergrößern anklicken....

Da wird also eine für Consumer-CPUs nie offiziell spezifizierte Eigenschaft entfernt, und schon schreien einige "Verrat".
 
AMD wird TSME auf Non-Pro Ryzen 9000-CPUs im Juli durch ein BIOS-Update wiederherstellen

AMD Statement:
"We take the security of our customers’ data very seriously.

AMD Memory Guard (Transparent Secure Memory Encryption, or TSME) is a hardware-based memory encryption technology available on our Ryzen PRO desktop and mobile processors where supported in silicon. It is a foundational security feature, and we have no plans to remove support from our Ryzen PRO lineup. This commitment holds now and in the future.

Regarding certain non-PRO Ryzen 9000-series desktop processors, a BIOS option to enable Memory Guard was previously available but was removed in a recent update. Based on valuable community feedback, we will reinstate this option in an upcoming BIOS release in July."
Zum Vergrößern anklicken....
 
zog88 schrieb:
Diese Sicherheitsvorkehrung ist auf Enterpriseprodukten weiterhin verfügbar, es liegt nahe dass die Consumerprodukte daher ebenfalls hardwareseitig nach wie vor fähig dazu sind aber diese Funktion wohl per Microcode / AGESA / soft abgeschalten wurde.
Richtig interessant wäre eine Erklärung seitens AMD warum man eine seit langem unterstütze, schlanke und gut funktionierende Lösung plötzlich und unangekündigt einstellt.
Das muss kritisch hinterfragt werden.
Zum Vergrößern anklicken....
Bereits runter von deinen hohen Ross?
Fakt ist einfach..
TSME wurde NIE bei Desktop CPU's beworben.
Mag funktioniert haben, wurde aber NIE zugesagt.
Das AMD es für spätere AGESA Versionen wieder einführt ist doch eine nette Geste seitens AMD.
 
Ein Produkt bewusst zu verschlechtern ist dann in Ordnung weil es nicht beworben wurde.
Warum beklagen sich dann Volkswagen Fahrer? Whataboutism.

Firmen freuen sich über Kunden die gewisse Taten mit Lob versehen und es auch in Ordnung finden.

Ich kaufe Hardware welche auch indirket auch Software und Firmware enthaelt. Da erwarte ihc mir kein schlechteres Produkt über 10 Jahre usw.

Manchen wünscht man einen gebuchten Urlaub wo dann alles nicht passt, wo man genauso sagen kann, es wurde ja nicht beworben, dass es passt und deshalb ist die Klage / Beschwerde nicht berechtigt. Das ist genau dasselbe.

Das einzige wo es vielleicht noch in Ordnung gewesen wäre, wenn die zweite jemals existierte Uefi / AGESA Version dies stillschweigend entfernt hätte. Aber wir reden da von Produkte die schon viel länger am Markt waren. Dass AMD keine HEDT verkaufen will und nichts adequates hat ist mir schon klar. Jetzt versucht man halt mit Krampf Unterscheidungsmerkmale herauszubilden, welche hier schief gelaufen sind.
Consumer vs Ryzen Pro vs Threadripper vs Milan (wie auch immer die Produkte benannt werden )
 
forenleser0815 schrieb:
TSME wurde NIE bei Desktop CPU's beworben.
Mag funktioniert haben, wurde aber NIE zugesagt.
Zum Vergrößern anklicken....
Eben, wer Wert auf ein bestimmtes Feature legt, sollte sich eine CPU kaufen wo dies offiziell vorhanden ist, also in den Spezifikationen steht. Dann und nur dann muss es wirklich da sein und auch funktionieren. Man sieht es ja an diesem Beispiel, dass es sonst auch verschwinden kann und das AMD es zurückbringen will, ist zwar eine nette Geste, einen Anspruch darauf hat man aber eben nicht.
 
Wenn man es unter dem Aspekt sieht, braucht VW und Co. ja auch keine Autoreifen mitliefern, wurde ja nie offiziell Beworben ;)
 
forenleser0815 schrieb:
Bereits runter von deinen hohen Ross?
Fakt ist einfach..
TSME wurde NIE bei Desktop CPU's beworben.
Mag funktioniert haben, wurde aber NIE zugesagt.
Das AMD es für spätere AGESA Versionen wieder einführt ist doch eine nette Geste seitens AMD.
Zum Vergrößern anklicken....
Du bist nicht zufällig der Mitarbeiter von AMD. der diese Entscheidung getroffen hat?
Wenn ja: Du bist gefeuert!
 
SchneeLeopard schrieb:
Wenn man es unter dem Aspekt sieht, braucht VW und Co. ja auch keine Autoreifen mitliefern, wurde ja nie offiziell Beworben ;)
Zum Vergrößern anklicken....
Ein Fahrbereiter Neuwagen benötigt Reifen.
Das im Winter jedoch Sommerreifen montiert sind.. bedank dich beim Hersteller.
Beitrag automatisch zusammengeführt:

Case39 schrieb:
Du bist nicht zufällig der Mitarbeiter von AMD. der diese Entscheidung getroffen hat?
Wenn ja: Du bist gefeuert!
Zum Vergrößern anklicken....
Keine sorge, ich arbeite nicht bei AMD und bin auch nicht gefeuert.
Warum manche Leute jedoch jammern wenn ein nicht beworbenes Feature abgeschaltet wird solltest du dich eher selbst fragen.
 
zog88 schrieb:
Diese Sicherheitsvorkehrung ist auf Enterpriseprodukten weiterhin verfügbar, es liegt nahe dass die Consumerprodukte daher ebenfalls hardwareseitig nach wie vor fähig dazu sind aber diese Funktion wohl per Microcode / AGESA / soft abgeschalten wurde.
Richtig interessant wäre eine Erklärung seitens AMD warum man eine seit langem unterstütze, schlanke und gut funktionierende Lösung plötzlich und unangekündigt einstellt.
Das muss kritisch hinterfragt werden.
Zum Vergrößern anklicken....
wer hat TSME gekannt ?
Wahrscheinlich 99% der User nicht.
Also lasst das Fass zu...
 
Habs auch nicht gekannt und denke, mein leben geht ohne weiter.


Trotzdem, Features per Software irgendwann einfach still und heimlich abschalten ist immer eine seltsame Sache und selten ein gutes Zeichen.
 
pwnbert schrieb:
Habs auch nicht gekannt und denke, mein leben geht ohne weiter.


Trotzdem, Features per Software irgendwann einfach still und heimlich abschalten ist immer eine seltsame Sache und selten ein gutes Zeichen.
Zum Vergrößern anklicken....
Ist halt Ansichtssache. Falls jemand seinen PC für jeden zur Verfügung stellt, da ein Lokaler Zugriff notwendig ist. Dann hat er sicher wichtigere Probleme.
Aber ist schon Lustig wie sich Windows Nutzer nun aufregen welche garnicht wissen ob TSME aktiv ist oder nicht.
 
Zuletzt bearbeitet:
Darum gehts gar nicht, mir nicht, in keiner Weise gehts mir um diese spezielle Funktion.

So Geschäftsgebahren sind immer die Vorboten dafür, dass sich jemand (ein Lieferant) in eine Richtung entwickelt, in der man eigentlich überhaupt nicht mehr damit arbeiten will.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh