AMD通过固件更新暗中移除消费级锐龙处理器的内存加密功能,用户毫不知情。
AMD已经悄悄从消费级锐龙处理器中移除了一项关键安全功能,用户对此一无所知。据Ars Technica报道并经数月GitHub追踪确认,透明安全内存加密(TSME)功能(该项技术可保护CPU免受物理攻击,防止攻击者从连接的内存芯片中窃取数据)在AMD专业版产品线之外的处理器上突然消失。
调查由自称"注重隐私的Linux爱好者"的Ben Kilpatrick发起。他在为自己的锐龙7 9700X(基于Zen 5架构)安装新系统时,运行了主机安全识别(HSI)审计工具,意外发现TSME显示为"不支持",尽管他一直在BIOS中启用了该选项。
TSME属于固件管理的内存加密方案,由BIOS一次性开启后加密所有内存,无需操作系统参与。它可防范冷启动攻击、内存接口嗅探和内存模块拆卸等物理入侵。相比之下,AMD的SME需操作系统管理,且仅在专业版和EPYC处理器上公开提供。
Kilpatrick起初联系了主板制造商微星,未能获得明确答复。他在AMD的公开GitHub仓库提交了漏洞报告后,两位AMD工程师(Tom Lendacky和Mario Limonciello)作出了回应,但令人意外的是,他们似乎也没有答案,仅建议在BIOS中关闭并重新开启该选项,无效则找主板厂商处理。
Kilpatrick进一步施压后,微星工程师进行了对照测试,结果发现:消费级锐龙芯片在旧版固件下TSME可用,但在AGESA 1.2.7.0新版固件下显示为"不支持",而专业版处理器无论使用何种固件或主板均支持该功能。一个控制TSME是否在启动时激活的内部AGESA标志在消费级芯片上始终返回"否",即便BIOS中已设置为开启。
这让问题变得尴尬。Kilpatrick翻出了Lendacky本人在2020年的一条评论,其中明确确认锐龙3700X(一款消费级CPU)"应支持TSME";2025年的另一条评论中,Lendacky再次推荐使用TSME。这些记录证明AMR自家工程师多年前即承认该功能在消费级芯片上运行,并非用户的臆想。
当Kilpatrick直截了当地追问该标志在消费级芯片上返回"否"是芯片级限制还是固件策略决定时,Limonciello的回复结束了这场讨论:"抱歉,我对此问题没有更多信息可以分享。"
截至目前,AMD未作任何官方声明,既未确认发生了什么也未解释原因。另一令人担忧的细节是,该功能的消失对Windows用户完全不可见,在Linux上也需要相当技术门槛才能检测到。这意味着安全功能被移除后,用户毫不知情。
对于多数消费级用户而言,TSME保护的是需要物理接触的攻击场景,实用性有限。但对于携带敏感数据的笔记本电脑用户、处理保密工作的人员或依赖全盘加密的环境,该功能不可忽视。在AMD澄清情况或恢复支持之前,确实需要内存加密的用户只能转向锐龙专业版或EPYC系统。
原文:https://www.tomshardware.com/pc-components/cpus/amd-silently-removes-memory-encryption-from-consumer-ryzen-cpus-leaving-users-unaware-that-they-may-be-vulnerable-security-feature-vanishes-after-newer-agesa-firmware-amd-engineers-go-radio-silent-when-pressed-about-the-change