Zen 5: AMDs CPUs haben kritischen RDSEED-Fehler

31
News Norman Wittkopf Als bevorzugte Quelle auf Google hinzufügen
Zen 5: AMDs CPUs haben kritischen RDSEED-Fehler
Quelle: AMD / Sven Bauduin

Es klafft eine kritische Sicherheitslücke im hardwarebasierten Zufallszahlengenerator RDSEED von AMDs Zen-5-Prozessoren. AGESA-Updates sollen nachhelfen.

AMD hat das Vorhandensein eines RDSEED-Fehlers auf CPUs mit Zen-5-Architektur bestätigt, darunter die Ryzen-9000-Reihe, AI Max 300, Threadripper 9000 und Ryzen Z2. Die als schwerwiegendes Problem mit der Bezeichnung "AMD-SB-7055" (CVE-2025-62626) eingestufte Sicherheitslücke in dem hardwarebasierten Zufallszahlengenerator könnte dazu führen, dass Schlüssel ausgegeben werden, die nicht vollständig unvorhersehbar sind, was wiederum ausgenutzt werden kann.

Die RDSEED-Anweisung auf Zen-5-Chips gibt demnach auf nicht zufällige Weise "0" zurück und meldet den Fehler fälschlicherweise als Erfolg. Betroffen sind die 16-Bit- und 32-Bit-Formate der RDSEED-Anweisung, während die 64-Bit-Version aus Gründen, die AMD nicht näher erläutert hat, offenbar nicht von dem Problem betroffen ist, wie Tom's Hardware hierzu berichtet.

RDSEED-Fehler bei Zen 5: AGESA-Updates kommen

Es handelt sich dabei um ein kritisches Problem für Kryptografieanwendungen, die auf die Zufallszahlengenerierung angewiesen sind, um vollständig unvorhersehbare Kryptografieschlüssel bereitzustellen. Wenn RDSEED ausfällt, sind entsprechende Anwendungen anfällig für Angriffe, wenn der Fehler zu einem vorhersehbaren Zeichenmuster führt. RDSEED ist neben RDRAND eines von zwei Systemen zur Erzeugung von Zufallsschlüsseln, die auf modernen CPUs (einschließlich Intels) verfügbar sind.

Das Problem wurde zuerst von einem Meta-Ingenieur entdeckt, der es in der Linux-Kernel-Mailing-Liste bekannt gab, wie Phoronix bereits Mitte Oktober berichtete. Einige Tage später wurde als Workaround ein aktualisierter Linux-Patch veröffentlicht, der RDSEED auf allen Zen-5-Chips deaktiviert, um die Sicherheitslücke zu schließen. AMD will in Kürze AGESA-Mikrocode-Updates über OEMs veröffentlichen, um das Problem auf allen Zen-5-CPUs zu beheben. Als vorübergehende Abhilfe empfiehlt AMD in seinem Security-Bulletin unter anderem die 64-Bit-Variante von RDSEED zu nutzen oder die CPUID zu verschleiern.

Ihre Meinung ist gefragt!

Was sagen Sie zu dem Fehler? Nutzen Sie die Kommentarfunktion und teilen Sie uns Ihre Meinung mit. Beachten Sie beim Kommentieren aber bitte die Forenregeln. Folgen Sie uns außerdem für Neuigkeiten in der Hardware-Welt oder unsere exklusiven Inhalte gern auf Whatsapp und X. Unsere Video-Inhalte (oftmals gewürzt mit einer Prise Humor) finden Sie bei Youtube, Instagram und Tiktok.

31

    • Kommentare (31)

      Zur Diskussion im Forum
      • Von Olstyle Trockeneisprofi (m/w)
        Zitat von Desmond_D_James
        Grund ist, das jede Zahl die der Generator liefert, einzeln betrachtet trotzdem super ist und nur eine bestimmte super Zahl seltener ist, das macht nix.
        Nochmal: es gibt keinen kleinen Bias sondern es wird bei Versagen einfach 0 zurückgegeben ohne den Fehler anzuzeigen.
        Das ist ein bisschen schlechter als "ein bisschen weniger super". Allerdings dürfte man für typische Krypto Schlüsselgrößen eh die 64Bit Version benutzen und 0-Schlüssel sowieso unterdrücken.
        Aber wenn tatsächlich jemand einen 128Bit Schlüssel mit der 32Bit Variante baut hat man plötzlich eine Chance auf reale 96Bit Sicherheit, die wird schon als grenzwertig angesehen.
        Zitieren
      • Von Olstyle Trockeneisprofi (m/w)
        Zitat von Desmond_D_James
        Grund ist, das jede Zahl die der Generator liefert, einzeln betrachtet trotzdem super ist und nur eine bestimmte super Zahl seltener ist, das macht nix.
        Nochmal: es gibt keinen kleinen Bias sondern es wird bei Versagen einfach 0 zurückgegeben ohne den Fehler anzuzeigen.
        Das ist ein bisschen schlechter als "ein bisschen weniger super". Allerdings dürfte man für typische Krypto Schlüsselgrößen eh die 64Bit Version benutzen und 0-Schlüssel sowieso unterdrücken.
        Aber wenn tatsächlich jemand einen 128Bit Schlüssel mit der 32Bit Variante baut hat man plötzlich eine Chance auf reale 96Bit Sicherheit, die wird schon als grenzwertig angesehen.
        Zitieren
      • Von Desmond_D_James Schraubenverwechsler(in)
        Zitat von Mephisto_xD
        Mmh, die Funktion wird schon verwendet denke ich. Sicherheitskritisches Bit Rauschen für Kryptografie lebt ja nicht nur auf dem Server, bei jedem HTTPS Zugriff brauchst du im Prinzip Zufallszahlen.

        Der Unterschied ist aber, dass sich ein Angriff auf eine einzelne HTTPS Verbindung über einen CPU Fehler der manchmal die zufälligkeit der Zufallszahlen etwas einschränkt schlicht nicht lohnt.
        Die Qualität ist schon reduziert aber meine Mom interessierts nicht. Grund ist, das jede Zahl die der Generator liefert, einzeln betrachtet trotzdem super ist und nur eine bestimmte super Zahl seltener ist, das macht nix. Die einzelne Verbindung ist trotzdem sicher. Zb gab es mal Experimente bezüglich random walk bei Aktienkursen. Und aus den zufälligen Verläufen haben dann manche ermittelt, dass da durchaus Trends sind etc. Also die üblichen Chartanalysen und sonst was. Aber, es ist natürlich klar dass bei zufälliger Kursentwicklung auch mal Trends auftauchen, wenn das nicht so wäre, können es keine Zufallszahlen sein. Und das versteht meine Mom. Und ich bin natürlich noch intelligenter. Ich habe vor vielen Jahren einen Test gemacht und habe einen IQ von 146. Zumindest damals. Kann sich natürlich auch ändern. Aber, ich wäre lieber weniger intelligent und hatte dafür bessere soziale Fähigkeiten. So kann ich nur darauf hinweisen, Alter Schwede ich hab Kopfschmerzen von Grippe Impfung. Hoffentlich konnte ich mich verständlich ausdrücken.
        Zitieren
      • Von Olstyle Trockeneisprofi (m/w)
        Zitat von Mephisto_xD
        Mmh, die Funktion wird schon verwendet denke ich. Sicherheitskritisches Bit Rauschen für Kryptografie lebt ja nicht nur auf dem Server, bei jedem HTTPS Zugriff brauchst du im Prinzip Zufallszahlen.

        Der Unterschied ist aber, dass sich ein Angriff auf eine einzelne HTTPS Verbindung über einen CPU Fehler der manchmal die zufälligkeit der Zufallszahlen etwas einschränkt schlicht nicht lohnt.
        Eine der Empfehlungen ist "alles 0" nicht als Zufallszahl zu akzeptieren. Das reduziert die Entropie nur geringfügig und dürfte in diversen Implementierungen sowieso schon drin sein.
        Andersherum werden Angriffe die Schlüssel mit "alle Bits gesetzt" oder 0, als Folge mutmaßlich ganz stillstehender Zufallsgeneratoren, ausprobieren wohl routinemäßig überall mit laufen. Noch ein Grund solche Schlüssel sowieso systematisch zu verbieten.

        Das arbeitet der Artikel vielleicht auch zu wenig heraus:
        Der Fehler besteht darin dass zu häufig 0 als Zufallszahl kommt. Vermutlich (hier ist man wohl noch am untersuchen) weil das Error Bit nicht immer gesetzt wird wenn gar kein Ergebnis generiert wurde.
        Es sind also nicht alle Zufallszahlen kompromittiert durch einen generellen Bias, sondern nur genau die Häufigkeit von Nullen ist fragwürdig hoch.
        Zitieren
      • Von Rollora Kokü-Junkie (m/w)
        Zitat von Hofnaerrchen
        Angesichts von 8,315 Mrd. Transistoren pro CCD ist es eher verwunderlich, dass nicht mehr Fehler vorkommen und dazu noch welche, die nicht durch einen Patch der Firmware behoben werden können... mir fällt spontan der Pentium-FDIV-Bug ein, das war ein ganz anderes Kaliber und das bei einer wesentlich weniger komplexen CPU.
        Naja CPUs habe eh immer hunderte Bugs,
        Zitieren
      • Von DarkWing13 BIOS-Overclocker(in)
        Zitat von Titanultra
        Ich würde dir empfehlen, den Artikel zu lesen und ihn dann noch zu verstehen, die Gefahr wird unterschätzt.
        Nö ,wird sie nicht. Es wird bereits an einer Lösung gearbeitet die wahrscheinlich bereits in einigen Tagen verfügbar sein wird.
        Zen 5 gibt es bereits eine Weile. Ist deshalb die Welt der Kryptografie zusammengebrochen, weil überall PCs und Server gehackt wurden?
        Nein. Und wenn der Fehler nicht zufällig(!) entdeckt worden wäre, würde sich auch nichts wesentlich ändern.
        Oft ist die Entdeckung und Veröffentlichung des Fehlers, das größere Problem als der Fehler selbst.
        Ich möchte gar nicht wissen, wie viele dieser "Fehler" noch in CPUs schlummern, und die vielleicht nie jemand entdecken wird.
        Zitieren
      Direkt zum Diskussionsende
Hoch
  • Print / Abo
    Apps
    PCGH Magazin 07/2026 PC Games 06/2026 play5 07/2026 N-Zone 06/2026 Linux Magazin 06/2026 LinuxUser 06/2026 Raspberry Pi Geek 07/2026
    PC Games Hardware PC Games Linux Magazin Raspberry Pi Geek Computec Kiosk
Die Redaktion Datenschutz Artikel-Archiv Datenschutz-Optionen Mediadaten Impressum Utiq verwalten Abo kündigen AGB Inhalt melden Newsletter