Server: AMD-Partner können Epyc-CPUs sperren

Der integrierte Sicherheitsprozessor der Epyc-Chips erlaubt ein Vendor-Lock, allerdings mit einem schwerwiegenden Haken.

Artikel veröffentlicht am ,
Epyc-CPU vor Packung
Epyc-CPU vor Packung (Bild: STH)

Wer künftig eine gebrauchte Epyc-CPU kauft und sich wundert, wieso das System nicht startet, hat eventuell einen zuvor sicherheitsaktivierten Prozessor erwischt: Wie STH berichtet, unterstützen die Epyc 7001/7002 einen Modus, in dem der Chip unwiderruflich auf einen Hersteller festgelegt wird. Anschließend lässt sich die CPU daher nicht mehr mit Systemen eines anderen Anbieters verwenden.

Stellenmarkt
  1. Leiter Escalation- und Incident-Management (m/w/d)
    ENTEGA Medianet GmbH über KEPPLER.Personalberatung, Darmstadt
  2. Senior Software Developer (m/w/d)
    unimed Abrechnungsservice für Kliniken und Chefärzte GmbH, deutschlandweit (Home-Office)
Detailsuche

Dieses sogenannte Vendor-Lock ist eine Sicherheitsfunktion des in den Epyc-CPUs integrierten PSP (Platform Security Processor). Wie STH von AMD bestätigt wurde, können Partner eine als PSB (Platform Secure Boot) bezeichnete Funktion aktivieren, die als Mitigation für Advanced Persistent Threats der Firmware dient. So wird eine ununterbrochene Sicherheitskette (Root of Trust) vom PSP im Epyc über das Bios bis hin zum per UEFI-Secure-Boot zu startenden Betriebssystem-Bootloader hergestellt.

Hierfür hinterlegen die Hersteller ihre selbst erzeugten und signierten Schlüssel im Prozessor, welcher anschließend angewiesen wird, entsprechende interne Sicherungen unwiderruflich zu sprengen. Sobald dies geschehen ist, startet die CPU nur noch in Mainboards des jeweiligen Herstellers, weil die passenden kryptographischen Schlüssel vorhanden sein müssen. Ergo funktioniert der Epyc-Chip nicht mehr in der Platine eines anderen Anbieters, womit die gewünschte Funktion des PSB erfüllt wird.

Zu den bestätigten Herstellern, die das Platform Secure Boot Feature voreingestellt verwenden, gehört Dell EMC. Aus diesem Grund konnte STH einen Epyc 7251 nicht mehr in Systemen von Supermicro und Tyan starten, nachdem er in Dell EMCs PowerEdge C6525 steckte. Für den Gebrauchtmarkt ist das eine schwerwiegende Entscheidung, vor allem da vor dem Kauf und Einbau ohne entsprechende Hinweise nicht erkennbar ist, ob PSB aktiviert wurde. Für die Zukunft wäre eine Lösung seitens AMD und der Partner wünschenswert, denn die grundsätzliche Idee des PSB ist gut und wird auch nachgefragt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


hjp 12. Sep 2020

Ich verstehe ja, dass Hersteller ein gewisses Interesse an einem Vendor-Lockin haben...

Copper 11. Sep 2020

K.A. ob es die Epycs mit BGA gibt. Und dann müsste man natürlich zwei verschiedene Boards...

pythoneer 09. Sep 2020

Also einfach nur ein Geschmacksexot wie Dr.Pepper Dem kann ich nur beipflichten! Es ist...

DooMMasteR 09. Sep 2020

das ganze ist nen Public-Private-Key-System recht simpel ohne CA usw.

ms (Golem.de) 09. Sep 2020

Der PSP oder PSB?



Aktuell auf der Startseite von Golem.de
Wemax Go Pro
Mini-Projektor für Reisen strahlt 120-Zoll-Bild an die Wand

Der Wemax Go Pro setzt auf Lasertechnik von Xiaomi. Der Beamer ist klein und kompakt, soll aber ein großes Bild an die Wand strahlen können.

Wemax Go Pro: Mini-Projektor für Reisen strahlt 120-Zoll-Bild an die Wand
Artikel
  1. Snapdragon 8cx Gen 3: Geleaktes Qualcomm-SoC erreicht das Niveau von AMD und Intel
    Snapdragon 8cx Gen 3
    Geleaktes Qualcomm-SoC erreicht das Niveau von AMD und Intel

    In Geekbench wurde der Qualcomm Snapdragon 8cx Gen 3 gesichtet. Er kann sich mit Intel- und AMD-CPUs messen, mit Apples M1 aber wohl nicht.

  2. Air4: Renault 4 als Flugauto neu interpretiert
    Air4
    Renault 4 als Flugauto neu interpretiert

    Der Air4 ist Renaults Idee, wie ein fliegender Renault 4 aussehen könnte. Mit der Drohne wird das 60jährige Jubiläum des Kultautos gefeiert.

  3. MS Satoshi: Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs
    MS Satoshi
    Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs

    Kryptogeld-Enthusiasten kauften ein Kreuzfahrtschiff und wollten es zum schwimmenden Freiheitsparadies machen. Allerdings scheiterten sie an jeder einzelnen Stelle.
    Von Elke Wittich

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Friday Wochenende • LG UltraGear 34GP950G-B 999€ • SanDisk Ultra 3D 500 GB M.2 44€ • Boxsets (u. a. Game of Thrones Blu-ray 79,97€) • Samsung Galaxy S21 128GB 777€ • Premium-Laptops (u. a. Lenovo Ideapad 5 Pro 16" 829€) • MS Surface Pro7+ 888€ • Astro Gaming Headsets [Werbung]
    •  /