Ryzen: AMD Platform Security Processor per BIOS-Update deaktivierbar
AMDs aktuelle Prozessoren verfügen über einen ARM-Kern, welcher Sicherheitsfunktionen übernimmt und als Platform Security Processor bekannt ist. Dieser PSP funktioniert praktisch wie die Intel Management Engine, allerdings geistert Letztere seit einigen Tagen als Sicherheitslücke durch die News. Deswegen fürchten auch AMD-Nutzer eine mögliche Schwachstelle im PSP. Neuer AGESA-Code erlaubt es nun, bei manchen Mainboard-Updates den PSP zu deaktivieren.
AMDs Ryzen-Prozessoren verfügen über einen Platform Security Prozessor, kurz PSP, welcher unabhängig von dem Rest der CPU arbeitet und genormte Sicherheitsfunktionen ausführt. Praktisch ist der PSP ein integrierter ARM-Kern mit eigener Firmware, welcher zwar auf das System zugreifen kann, aber für das Betriebssystem unsichtbar ist. Mit dem Platform Security Processor setzt AMD von der internationalen Standardisierungsbehörde ISO vorgeschriebene Funktionalitäten eines Trusted Platform Module um. Der PSP steckt nicht nur in Ryzen, sondern findet sich auch in den leistungsfähigeren Threadripper -Prozessoren, den Raven-Ridge -APUs und in verschiedenen Grafikkartenarchitekturen wie Polaris und Vega wieder. Intels Pendant zu AMDs Platform Security Processor ist die Intel Management Engine (IME), welche sich in den letzten Tagen als Sicherheitslücke herausstellte.
Dementsprechend steht auch AMDs Platform Security Processor in der Kritik, eine potentielle Schwachstelle für Fremdzugriffe oder Schadsoftware zu sein. Die Ryzen-Community hatte darauf gehofft, dass das kalifornische Unternehmen den Quellcode für den PSP veröffentlichten würde und somit Sicherheitslücken schneller unter Beihilfe der Nutzer gefunden werden könnten. AMD sagte zwar im März einer Untersuchung zu, ob es möglich ist, den Quellcode zu veröffentlichen, danach kam aber eine Absage - anscheinend aufgrund von Lizenzrechten. Die Firma aus Sunnyvale wies aber darauf hin, dass externe Unternehmen mit der Überprüfung des Platform Security Processors beauftragt sind.
Hersteller von Intel-Mainboards oder Komplettsystem haben schon angefangen, Updates gegen die Schwachstellen der Intel Management Engine bereitzustellen oder gar die IME zu deaktivieren. Dank eines neuen AGESA-Updates lässt sich auch AMDs Platform Security Processor deaktivieren, wie Phoronix und heise online berichten. Findige Reddit-Nutzer bemerkten während eines BIOS-Updates die Möglichkeit, die BIOS-Unterstützung für den PSP zu entfernen. Dies ist zum Beispiel bei Asrock-Mainboards wie dem AB350M Pro4 der Fall. Durch Deaktivieren der Setup-Option "BIOS PSP Support" wird laut Beschreibungstext die Ausführung des PSP-Treibers ausgeschaltet. Leider ist die genaue Wirkweise des Platform Security Processors nicht dokumentiert, es ist außerdem nicht klar, ob sämtliche Funktionen des PSPs vollständig deaktiviert werden. Manche Mainboardhersteller bieten noch keine entsprechende Funktion an, allerdings sollen neben Asrock-Produkten auch einige Gigabyte-AM4-Mainboards über eine Möglichkeit zur Deaktivierung des PSPs verfügen. Das Fehlen einer Dokumentation ergibt natürlich insofern Sinn, dass fehlendes Wissen über den PSP gleichzeitig bedeutet, dass Hackern weniger mögliche Ansatzpunkte bekannt sind, um den PSP auszuhebeln oder ihn zu missbrauchen.
Im Grunde ist das nichts weiter als ein DRM, wo selbst das OS vorgegeben sein kann.
So ganz blicke nicht durch!
Bei AMD soll es allerdings daran liegen, dass der ARM-Kern und die Firmware (von Trustonic) lizenziert sind und daher AMD gar nicht in der Lage ist, einen anderen Ansatz als "Security by Obscurity" zu benutzen.