Ryzen-Update: AMD streicht RAM-Schutz ohne Vorwarnung [Update]

Ein AGESA-Firmware-Update sorgt bei Besitzern von Ryzen-CPUs für Unmut. Eine Sicherheitsfunktion, die den Arbeitsspeicher vor physischen Angriffen schützt, wurde auf regulären Consumer-Prozessoren ohne Vorwarnung deaktiviert. AMD schweigt.

Sicherheit heimlich eingeschränkt

AMD hat auf seinen regulären Consumer-Prozessoren der Ryzen-Serie klammheimlich eine Sicherheitsfunktion deaktiviert. Durch ein Update der grundlegenden System-Software steht die Speicherverschlüsselung TSME seit dem AGESA-Firmware-Update 1.2.7.0 plötzlich nicht mehr zur Verfügung. Entdeckt wurde das Fehlen von einem aufmerksamen Linux-Nutzer, der sein neu aufgesetztes System routinemäßig auf mögliche Hardware-Schwachstellen überprüfte.

Die Abkürzung TSME steht für Transparent Secure Memory Encryption. Das System verschlüsselt den gesamten Inhalt des Arbeitsspeichers auf Hardware-Ebene, ohne dass das Betriebssystem eingreifen muss. Das schützt vor direkten Angriffen. Für Heimanwender am Schreibtisch ist der Wegfall meist verschmerzbar. Wer mit hochvertraulichen Daten auf einem Laptop reist, verliert jedoch eine Sicherheitsebene.

Unklare Motive beim Hersteller

Wie Ars Technica berichtet, brachte eine monatelange Untersuchung die genauen Details ans Licht. Der Nutzer kontaktierte den Mainboard-Hersteller MSI, dessen Hardware-Ingenieure umfangreiche Tests durchführten. Das Ergebnis zeigte, dass die Funktion auf identischen Platinen bei teureren Pro-Prozessoren weiterhin reibungslos arbeitet. Bei den Standard-Modellen von Ryzen meldet das System den Verschlüsselungsstatus nun hingegen als nicht unterstützt.

Die Analysen der Entwickler ergaben, dass ein interner Schalter namens DfIsTsmeEnabled beim Systemstart auf den günstigeren Chips konsequent auf "false" gesetzt wird. Das Kuriose an der Situation ist, dass Mitarbeiter von AMD in der Vergangenheit selbst bestätigt hatten, dass reguläre Ryzen-Prozessoren TSME beherrschen, obwohl der Schutz nie offiziell beworben wurde. Drei Jahre lang funktionierte der Schutzmechanismus dennoch fehlerfrei.

Keine Antworten von AMD

Das Unternehmen hüllt sich zu den genauen Beweggründen der Deaktivierung unterdessen in Schweigen. Auf direkte Nachfragen in einem öffentlichen Fehlerbericht beendete ein leitender Software-Entwickler von AMD die Diskussion abrupt. Er gab an, er habe keine weiteren Informationen. Offiziell heißt es per E-Mail lediglich, dass TSME eine Funktion sei, die ausschließlich den teureren Pro-Modellen vorbehalten bleibe.

Ein Nachteil für Betroffene ist, dass das Fehlen des Features unter Betriebssystemen wie Windows nicht direkt sichtbar ist. Nutzer wiegen sich in Sicherheit, obwohl der Schutzmechanismus längst deaktiviert wurde. Wer zwingend auf eine vollständige Speicherverschlüsselung angewiesen ist, muss wohl in Zukunft auf teurere Pro-CPUs von AMD ausweichen.

Ist euch die Verschlüsselung eures Arbeitsspeichers auf Hardware-Ebene wichtig oder reicht euch ein reiner Softwareschutz? Was haltet ihr von AMDs Vorgehen? Teilt eure Meinung in den Kommentaren!
Siehe auch: