Vendor-Lock: EPYC-Prozessoren können auf bestimmte Hersteller beschränkt sein

Veröffentlicht am: von

amd-epyc-2ndgenZunächst einmal vorweg: Das in der Folge beschriebene Problem rund um einen Vendor-Lock bei den EPYC-Prozessoren ist nicht neu. Für Käufer der Prozessoren über den normalen Handel stellt es auch kein Problem dar und auch grundsätzlich gilt für den Gebrauchtmarkt nicht, dass sich EPYC-Prozessoren nicht mehr in anderen Servern bzw. auf anderen Mainboards verwenden lassen, aber eine derartige Einschränkung scheint dennoch auf größeres Interesse zu stoßen und daher sollte man das Thema auch einmal besprechen.

Die Kollegen von ServeTheHome haben sich kürzlich den Dell EMC PowerEdge C6525 angeschaut und erwähnten mehr oder weniger nebenher, dass die dort verbauten Prozessoren nur in Dells EMC-Servern verwendet werden können. Bereits 2018 mit der ersten Generation der EPYC-Prozessoren war diese im Rahmen des Tests des Dell EMC PowerEdge R7415 ein Thema. Offenbar aber scheint der Vendor-Lock nun auf ein größeres Interesse oder besser Unverständnis zu stoßen.

Der Vendor-Lock ist eine Sicherheitsfunktion der EPYC-Prozessoren, die nicht von jedem Hersteller angewendet wird. Dell scheint aktuell der einzige Hersteller zu sein, der sie verwendet. Basis all dessen ist der Platform Secure Boot (PSB) von AMD. Neben den bis zu 64 Zen-2-Kernen befindet sich im Prozessor auch noch ein ARM Cortex-A5-Prozessor mit eigenem Betriebssystem, der unter anderem die "root of trust" sicherstellen soll. Damit sollen Manipulationen an der Hard- und Software verhindert werden.

Neben einem sicheren Key Management und vielen weiteren Funktionen verwendet Dell die Möglichkeit, dass die Prozessoren nur auf bestimmter und signierter Firmware laufen. Beim ersten Boot werden der Prozessor und das jeweilige Mainboard bzw. die Firmware miteinander gekoppelt. Erkennt der Prozessor eine andere Firmware, ist kein Bootvorgang möglich. Muss das Mainboard getauscht werden, muss die Firmware mit dem bisherigen identisch sein, damit der Prozessor darauf starten möchte.

» zur Galerie

Dieses Verhalten ist sowohl von AMD als auch von Dell so vorgesehen. In einem Statement gegenüber STH bestätigt AMD dies:

"The AMD Platform Secure Boot Feature (PSB) is a mitigation for firmware Advanced Persistent Threats. It is a defense-in-depth feature. PSB extends AMD’s silicon root of trust to protect the OEM’s BIOS.  This allows the OEM to establish an unbroken chain of trust from AMD’s silicon root of trust to the OEM’s BIOS using PSB, and then from the OEM’s BIOS to the OS Bootloader using UEFI secure boot. This provides a very powerful defense against remote attackers seeking to embed malware into a platform’s firmware.

An OEM who trusts only their own cryptographically signed BIOS code to run on their platforms will use a PSB enabled motherboard and set one-time-programmable fuses in the processor to bind the processor to the OEM’s firmware code signing key. AMD processors are shipped unlocked from the factory, and can initially be used with any OEM’s motherboard. But once they are used with a motherboard with PSB enabled, the security fuses will be set, and from that point on, that processor can only be used with motherboards that use the same code signing key."

Die Serverbetreiber und deren Kunden verlangen nach immer mehr Sicherheit. Eben diese Nachfrage geht AMD mit den Funktionen des PSB nach. Eine dieser Funktionen ist die Bindung des Prozessors an eine bestimmte Hardware.

Prozessoren, die für eine mögliche Zweitverwendung anderweitig genutzt werden sollen, werden damit zumindest dahingehend ausgeschlossen, als dass sie nur noch mit einer bestimmten Firmware zusammenarbeiten. Der Server muss also in seiner kompletten Form weiterverwendet werden. Die Prozessoren können nicht mehr entnommen und einer anderweitigen Verwendung zugeführt werden. Damit sind solche Prozessoren vom Gebrauchtmark ausgenommen.

Welche Auswirkungen dies auf den Gebrauchtmarkt hat, lässt sich nur schwer abschätzen. Ohnehin sprechen wir hier von einem extrem kleinen Markt und die Serveranbieter haben meist auch kein großes Interesse daran – ganz im Gegenteil. Hier wird einfach eine zusätzliche Sicherheitsoption gegen die Weiterverwendung der Prozessoren in anderer Form abgewogen. Dell kommt zu dem Ergebnis, dass die Sicherheit überwiegt. Auch bei Intel soll eine solche Sicherheitsfunktion in den nächsten Plattformen einfließen.

Für Käufer von gebrauchten Serverprozessoren heißt es nun also genauer hinzuschauen, denn unter Umständen kauft man einen Prozessor, den man dann von der gewünschten Plattform nicht betreiben kann.