AMD PSB หรือ Platform Secure Boot บน CPU: มีไว้เพื่ออะไร

April 14, 2022 แมตต์มิลส์ ฮาร์ดแวร์ 0

กระบวนการบู๊ตของคอมพิวเตอร์ทุกเครื่องอาจถูกบุกรุกได้หากไม่มีมาตรการรักษาความปลอดภัยเพื่อป้องกัน เอเอ็มดีPlatform Secure Boot หรือ PSB เป็นหนึ่งในกลไกที่รับประกันความสมบูรณ์ในเรื่องนี้ แต่ผู้ผลิตก็อาจถูกนำไปใช้ในทางที่ผิดเพื่อผูกคุณกับฮาร์ดแวร์เฉพาะ

ผู้ผลิตคอมพิวเตอร์จะขายคอมพิวเตอร์ทั้งเครื่องได้กำไรมากกว่าการอัปเดตด้วยชิ้นส่วนจากแบรนด์ต่างๆ ซึ่งเป็นข้อเท็จจริงที่ปฏิเสธไม่ได้ และนั่นเป็นสาเหตุที่คอมพิวเตอร์ที่สร้างไว้ล่วงหน้าส่วนใหญ่มีข้อจำกัดที่ประดิษฐ์ขึ้นเพื่อให้คุณเชื่อมโยงกับแบรนด์ใดแบรนด์หนึ่งโดยเฉพาะ

AMD PSB หรือ Platform Secure Boot บน CPU

หากเราเพิ่มเข้าไปอีกว่า AMD เป็นเวลาหลายปีที่เป็นลูกเป็ดขี้เหร่สำหรับผู้ผลิตคอมพิวเตอร์หลายรายและต้องต่อสู้อย่างหนักเพื่อให้แบรนด์หลักบางยี่ห้อใช้ซีพียูและของ อินเทล. ดังนั้นจึงเป็นที่ชัดเจนว่าพวกเขาต้องมอบหมายงานบางอย่างเพื่อประโยชน์ของคู่ค้าของตน หนึ่งในความขัดแย้งมากที่สุดคือ Platform Secure Boot หรือ PSB ซึ่งได้ให้บริการผู้ผลิตเช่น Dell หรือ เลอโนโว เพื่อผูกซีพียู Ryzen, Threadripper และ EPYC ของบริษัทที่นำโดย Lisa Su เข้ากับฮาร์ดแวร์ของพวกเขาโดยเฉพาะ

ความสนใจของผู้ผลิตในการผูกคุณกับแพลตฟอร์มของพวกเขาเกี่ยวข้องกับระบบป้องกันการบู๊ตของ AMD อย่างไร ให้เราอธิบายให้คุณฟัง

AMD PSB คืออะไร?

ภายใน BIOS UEFI จะถูกเก็บไว้ในหน่วยความจำแฟลชบน เมนบอร์ดซึ่งเนื่องจากมันไม่ระเหย แรม ถูกกล่าวถึงราวกับว่ามันเป็นส่วนหนึ่งของหน่วยความจำหลัก มีบางครั้งที่ถึงแม้จะมีมาตรการป้องกันทั้งหมด ซอฟต์แวร์ที่เป็นอันตรายยังคงสามารถแทรกโค้ดลงในเฟิร์มแวร์และทำการอัปเดตโดยไม่ได้รับอนุญาตได้ อย่าลืมว่ากระบวนการบู๊ตสร้างตำแหน่งของคีย์สาธารณะและคีย์ส่วนตัวบางตัว ซึ่งใช้โดยตัวประมวลผลความปลอดภัยเท่านั้น

โปรเซสเซอร์ AMD Intel Seguridad

ซึ่งหมายความว่าหากเราไม่ได้ใช้โมดูล TPM ในพีซีของเราที่มีโปรเซสเซอร์ AMD ข้อมูลที่เป็นความลับของเรา เช่น ที่เกี่ยวข้องกับใบรับรองการตรวจสอบที่เราใช้ในการโต้ตอบกับธนาคารของเราจะถูกเก็บไว้ผ่าน ftTPM ที่พบในเฟิร์มแวร์สำหรับบู๊ตจึงต้องเพิ่มมาตรการความปลอดภัยเพิ่มเติมเพื่อป้องกัน

AMD Platform Secure Boot หรือ PSB เป็นหนึ่งในมาตรการรักษาความปลอดภัยที่สร้างขึ้นในโปรเซสเซอร์ความปลอดภัยภายใน CPU ของ AMD ประโยชน์ของมันคือการป้องกันการดำเนินการของเฟิร์มแวร์ที่เกี่ยวข้องกับกระบวนการบู๊ตที่ได้รับการแก้ไขเพื่อจุดประสงค์ที่เป็นอันตราย การทำเช่นนี้จะสร้างห่วงโซ่ของความไว้วางใจที่รับผิดชอบในการตรวจสอบเฟิร์มแวร์ทั้งหมดที่ ซีพียู เข้าถึงเมื่อเราเริ่มคอมพิวเตอร์ รวมทั้ง BIOS และการเริ่มต้นระบบปฏิบัติการ

มันทำงานอย่างไร?

PSB เพิ่มระดับความปลอดภัยที่สูงกว่าที่ UEFI BIOS สามารถให้ได้ เนื่องจากจะตรวจสอบเนื้อหาของหน่วยความจำที่มีทุกอย่างในโปรแกรมบูต มันทำสิ่งนี้ผ่านสายโซ่แห่งความไว้วางใจที่ดำเนินการผ่านฮาร์ดแวร์ล้วนๆ และไม่มีโปรแกรมภายนอกใดๆ ก่อนที่กระบวนการเริ่มต้นทั้งหมดจะถูกดำเนินการ

แพลตฟอร์ม Secure Boot

  • จะทำการตรวจสอบความถูกต้องของบล็อกแรกของ BIOS/UEFI ในขณะที่ทำเช่นนี้ จะส่งสัญญาณไปยังพิน HOLD ของ CPU เพื่อไม่ให้เริ่มทำงานขณะทำการตรวจสอบ
  • มีหน้าที่ตรวจสอบเนื้อหาของ ROM ระบบ หน่วยความจำนี้มีสำเนาสำรองของฟังก์ชันพื้นฐานของ BIOS และมีกระบวนการบูตทั้งหมดในลักษณะที่ไม่เปลี่ยนรูป โปรดทราบว่าการอัพเดตคุณสมบัติ BIOS ใหม่ไม่เกี่ยวข้องกับการบู๊ตระบบ
  • ตัวประมวลผลความปลอดภัยทำการเปรียบเทียบระหว่างเนื้อหาของ ROM และเฟิร์มแวร์ที่ UEFI จัดเก็บไว้ เพื่อตรวจสอบการเปลี่ยนแปลงที่ไม่ได้รับอนุญาต หลังจากทำเช่นนี้ จะทำให้ CPU ว่างขึ้นเพื่อให้สามารถบูตเครื่องพีซีได้โดยไม่มีปัญหา

AMD Security โปรเซสเซอร์หรือโปรเซสเซอร์การรักษาความปลอดภัยของแพลตฟอร์มเป็นไมโครคอนโทรลเลอร์ขนาดเล็กที่มีระดับสิทธิ์สูงสุดสำหรับการเข้าถึง RAM และอุปกรณ์ต่อพ่วงระบบ ได้รับการจัดอันดับบนan ARM Cortex-A5 และเนื่องจากการใช้พลังงานต่ำ จึงสามารถทำงานร่วมกับคอมพิวเตอร์ในโหมดสลีปหรือสแตนด์บายได้ ดังนั้นมันจะเป็นโปรเซสเซอร์ตัวแรกที่จะทำเครื่องหมายเมื่อเราเปิดพีซีของเราหรือนำออกจากโหมดการบริโภคต่ำโหมดใดโหมดหนึ่ง

ผู้ผลิตละเมิด AMD PSB อย่างไร

ในช่วงไม่กี่ครั้งที่ผ่านมา เราไม่เพียงเห็นว่ามีการเคลื่อนไหวไปสู่การผสานรวมอย่างไร แต่ยังรวมถึงว่าในท่ามกลางกระบวนการนี้ หนึ่งในฐานที่กำหนดพีซีตั้งแต่เริ่มมีการโจมตี: ความสามารถในการขยายและการกำหนดค่าโดยผู้ใช้ ผู้ผลิตส่วนใหญ่ได้ข้อสรุปที่เป็นอันตรายว่าการที่เราสามารถขยายขีดความสามารถของพีซีของเราส่งผลต่อการซื้อผลิตภัณฑ์ในอนาคต ดังนั้น การโต้เถียงเรื่องสิทธิในการซ่อมจึงปรากฏต่อหน้าแนวปฏิบัติของผู้ผลิตชิ้นส่วนประกอบและผู้ผลิตฮาร์ดแวร์รายต่างๆ

พนักงานเสิร์ฟ Segunda Mano

ตามหลักเหตุผล คาดว่าสิ่งนี้จะส่งผลกระทบต่อตลาดผู้บริโภคเท่านั้น ดังนั้นเซิร์ฟเวอร์และศูนย์ข้อมูลที่ใช้โดยหน่วยงานสาธารณะและบริษัทขนาดใหญ่ต่างๆ ซึ่งในทางทฤษฎีไม่ควรได้รับผลกระทบ อย่างไรก็ตาม AMD ตัดสินใจสร้างโปรแกรมที่เรียกว่า PSB เพื่อให้ผู้ผลิตและแอสเซมเบลอร์สามารถขายเซิร์ฟเวอร์ทั้งหมดของตนได้ ไม่ใช่ชิ้นส่วน เหตุผลเบื้องหลัง? มีตลาดมือสองที่ตัวประมวลผล EPYC ที่ถอดออกจากเซิร์ฟเวอร์แล้วจะถูกใช้สำหรับเซิร์ฟเวอร์มือสองและศูนย์ข้อมูล

กล่าวอีกนัยหนึ่งเมื่อบริษัททิ้งเซิร์ฟเวอร์เก่าหรือศูนย์ข้อมูล จะไม่ทิ้งมันทิ้ง แต่ขายชิ้นส่วนเพื่อกู้คืนส่วนหนึ่งของการลงทุน สิ่งนี้สร้างการแข่งขันเพิ่มเติมสำหรับผู้ผลิตเซิร์ฟเวอร์ เนื่องจากลูกค้าอาจพบว่าน่าสนใจยิ่งขึ้นในการสร้างเซิร์ฟเวอร์และดูแลรักษาเซิร์ฟเวอร์ด้วยตนเอง การทำเช่นนี้จึงเป็นการใช้คุณลักษณะด้านความปลอดภัย EPYC ของ AMD ในทางที่ผิดเพื่อล็อคลูกค้าในแบรนด์ใดแบรนด์หนึ่งโดยเฉพาะ

พวกเขาทำล็อคได้อย่างไร?

เพื่อให้ซีพียูเซิร์ฟเวอร์ AMD EPYC ทำงานได้เฉพาะกับมาเธอร์บอร์ดรุ่นใดรุ่นหนึ่งและตลาดเซิร์ฟเวอร์มือสอง ผู้ผลิตละเมิดกระบวนการรับรองการบู๊ตที่ PSB จัดหาให้เพื่อผูกโปรเซสเซอร์กับเซิร์ฟเวอร์เฉพาะ ซึ่งหมายความว่าเราไม่สามารถจับคู่ได้ โปรเซสเซอร์บางตัวยกเว้นบอร์ดเซิร์ฟเวอร์บางตัว

ผู้ผลิต AMD PSB

เพื่อให้เข้าใจกระบวนการทั้งหมด เราต้องเริ่มจากข้อเท็จจริงที่ว่าเมื่อผู้ผลิตสร้างพีซีเสร็จแล้ว ไม่ว่าจะเป็นประเภทใดก็ตาม กระบวนการจะถูกดำเนินการโดยสร้างอิมเมจสำหรับเริ่มระบบที่เก็บไว้ใน ROM และจะมีสองคีย์ที่เกี่ยวข้อง , ทั้งที่มีขนาด 4096 บิตและ การเข้ารหัส SHA-384 . อันแรกจะถูกเก็บไว้ใน ROM ของระบบและจะมีผลใน Boot Firmware อย่างที่สองจะทำภายใน HSM ซึ่งเป็นฮาร์ดแวร์ที่รับผิดชอบในการสร้างคีย์ที่เข้ารหัสลับและถอดรหัสด้วย
เซอร์โรโจ PSB Fabricantes
คีย์ทั้งสองเป็นส่วนหนึ่งของโครงสร้างพื้นฐานของคีย์สาธารณะและใช้เพื่อลงนามเนื้อหาของใบรับรองที่พบใน ROM บูตบนเมนบอร์ดและซึ่งรวมถึงรหัสประจำตัวของโปรเซสเซอร์และองค์ประกอบฮาร์ดแวร์ที่เหลือ หากหนึ่งในรายการเหล่านี้หายไปจากระบบ PSB จะไม่อนุญาตให้ระบบบูต