• IT-Karriere:
  • Services:

Server: AMD-Partner können Epyc-CPUs sperren

Der integrierte Sicherheitsprozessor der Epyc-Chips erlaubt ein Vendor-Lock, allerdings mit einem schwerwiegenden Haken.

Artikel veröffentlicht am ,
Epyc-CPU vor Packung
Epyc-CPU vor Packung (Bild: STH)

Wer künftig eine gebrauchte Epyc-CPU kauft und sich wundert, wieso das System nicht startet, hat eventuell einen zuvor sicherheitsaktivierten Prozessor erwischt: Wie STH berichtet, unterstützen die Epyc 7001/7002 einen Modus, in dem der Chip unwiderruflich auf einen Hersteller festgelegt wird. Anschließend lässt sich die CPU daher nicht mehr mit Systemen eines anderen Anbieters verwenden.

Stellenmarkt
  1. Stadt Lauf a.d.Pegnitz, Lauf a.d.Pegnitz bei Nürnberg
  2. ING Deutschland, Frankfurt

Dieses sogenannte Vendor-Lock ist eine Sicherheitsfunktion des in den Epy-CPUs integrierten PSP (Platform Security Processor). Wie STH von AMD bestätigt wurde, können Partner eine als PSB (Platform Secure Boot Feature) bezeichnete Funktion aktivieren, die als Mitigation für Advanced Persistent Threats der Firmware dient. So wird eine ununterbrochene Sicherheitskette (Root of Trust) vom PSP im Epyc über das Bios bis hin zum per UEFI-Secure-Boot zu startenden Betriebssystem-Bootloader hergestellt.

Hierfür hinterlegen die Hersteller ihre selbst erzeugten und signierten Schlüssel im Prozessor, welcher anschließend angewiesen wird, entsprechende interne Sicherungen unwiderruflich zu sprengen. Sobald dies geschehen ist, startet die CPU nur noch in Mainboards des jeweiligen Herstellers, weil die passenden kryptographischen Schlüssel vorhanden sein müssen. Ergo funktioniert der Epyc-Chip nicht mehr in der Platine eines anderen Anbieters, womit die gewünschte Funktion des PSB erfüllt wird.

Zu den bestätigten Herstellern, die das Platform Secure Boot Feature voreingestellt verwenden, gehört Dell EMC. Aus diesem Grund konnte STH einen Epyc 7251 nicht mehr in Systemen von Supermicro und Tyan starten, nachdem er in Dell EMCs PowerEdge C6525 steckte. Für den Gebrauchtmarkt ist das eine schwerwiegende Entscheidung, vor allem da vor dem Kauf und Einbau ohne entsprechende Hinweise nicht erkennbar ist, ob PSB aktiviert wurde. Für die Zukunft wäre eine Lösung seitens AMD und der Partner wünschenswert, denn die grundsätzliche Idee des PSB ist gut und wird auch nachgefragt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

hjp 12. Sep 2020 / Themenstart

Ich verstehe ja, dass Hersteller ein gewisses Interesse an einem Vendor-Lockin haben...

Copper 11. Sep 2020 / Themenstart

K.A. ob es die Epycs mit BGA gibt. Und dann müsste man natürlich zwei verschiedene Boards...

pythoneer 09. Sep 2020 / Themenstart

Also einfach nur ein Geschmacksexot wie Dr.Pepper Dem kann ich nur beipflichten! Es ist...

DooMMasteR 09. Sep 2020 / Themenstart

das ganze ist nen Public-Private-Key-System recht simpel ohne CA usw.

ms (Golem.de) 09. Sep 2020 / Themenstart

Der PSP oder PSB?

Kommentieren


Folgen Sie uns
       


    •  /