Ryzen-CPUs: AMD kappt RAM-Verschlüsselung ohne Vorwarnung

11
News Sven Bauduin Als bevorzugte Quelle auf Google hinzufügen
Ryzen-CPUs: AMD kappt RAM-Verschlüsselung ohne Vorwarnung
Quelle: AMD / Montage: Sven Bauduin

Ohne Ankündigung und ohne sichtbaren BIOS-Hinweis hat AMD die Speicherverschlüsselung TSME auf regulären Ryzen-CPUs deaktiviert und sie den Pro-Modellen vorbehalten. Für Spieler ändert das wenig, sicherheitsbewusste Nutzer trifft es härter.

AMD hat mit der AM5-Firmware AGESA ComboAM5Pi v1.2.7.0 die hardwareseitige Speicherverschlüsselung TSME ("Transparent Secure Memory Encryption") auf seinen regulären Ryzen-Prozessoren abgeschaltet, ohne diesen Schritt vorher öffentlich zu kommunizieren oder gar entsprechend zu dokumentieren.

Aufgefallen ist der Wegfall erst Monate später: Der Linux-Anwender Ben Kilpatrick prüfte sein frisch aufgesetztes System mit einem Ryzen 7 9700X (Test) routinemäßig auf Schwachstellen und stieß auf die Meldung "encrypted RAM: not supported". Eine monatelange Spurensuche nahm ihren Lauf, wie Ars Technica (via Heise) berichtet. Doch was bedeutet das für den Schutz des Arbeitsspeichers?

TSME: Was AMDs RAM-Schutz gegen Cold-Boot-Angriffe leistet

Die Transparent Secure Memory Encryption, kurz TSME, verschlüsselt den kompletten Inhalt des Arbeitsspeichers auf Firmware-Ebene. Den nötigen Schlüssel erzeugt AMDs Sicherheits-Prozessor bei jedem Start neu, eine dedizierte AES-Einheit übernimmt das Ver- und Entschlüsseln. Das Betriebssystem und die Anwendungen bemerken davon nichts, weshalb die Technologie als transparent angesehen wird.

Gedacht ist der Schutz gegen physische Angriffe. Wer ein abgeschaltetes System in die Finger bekommt, kann die Speicherriegel bei einer Cold-Boot-Attacke auslesen, bevor die Ladungen verfallen; mit aktiver TSME erhält ein Angreifer nur noch Datenrauschen: ein sinn- und wirkungsvolles Sicherheits-Feature.

Den dafür fälligen Leistungsverlust bezifferte AMD bislang auf unter fünf Prozent. Dass sich das Fehlen unter Linux nachweisen lässt, unter Windows hingegen nicht, sollte sich im späteren Verlauf noch als zentrales Problem erweisen.

AGESA 1.2.7.0: So verschwand TSME aus den Ryzen-CPUs

Mit der Firmware-Update auf AGESA ComboAM5Pi v1.2.7.0 setzt AMD ein internes Kontrollbit namens DfIsTsmeEnabled bei Consumer-Prozessoren auf FALSE, während Ryzen Pro und Epyc weiterhin auf TRUE stehen. Die zugehörige Schalter-Option im BIOS bleibt sichtbar, greift bei den betroffenen Prozessoren aber ins Leere.

Unter Windows lässt sich der Wegfall nach derzeitigem Kenntnisstand gar nicht erkennen. Unter Linux gelingt der Nachweis erst über das Audit der Host Security ID des Werkzeugs fwupd, dessen Statusmeldung von "encrypted" auf "not supported" umsprang. Der RAM-Schutz wurde also mit AGESA 1.2.7.0 heimlich deaktiviert.

Der taiwanische Mainboard-Hersteller MSI bestätigte nach eigenen Tests, dass TSME mittlerweile nur noch auf Pro-Prozessoren einen positiven Status meldet - ganz unabhängig von Mainboard und BIOS-Version.

Nur für Pro: AMDs knappe Antwort wirft Fragen auf

Der Hersteller begründet den Schritt mit einem einzigen Satz: TSME sei eine Sicherheitsfunktion, die ausschließlich für Pro-CPUs als Teil der Pro Technologies vorgesehen sei. Diese Auskunft steht im Widerspruch zu früheren öffentlichen Aussagen aus dem eigenen Haus und wurde für AMD zum Bumerang.

2020 hatte AMD-Ingenieur Tom Lendacky bestätigt, dass auch ein Consumer-Chip wie der Ryzen 7 3700X auch TSME unterstützen solle; 2025 empfahl er die Funktion sogar ausdrücklich. In einem GitHub-Thread, in dem Lendacky und sein Kollege Mario Limonciello den Fall zunächst mit aufklärten, wurde es danach still.

Der auf Silizium-Sicherheit spezialisierte Forscher Joe FitzPatrick sieht nur zwei Erklärungen, beide wenig schmeichelhaft: Entweder habe AMD die Abschaltung nicht bemerkt, oder sie sei Absicht gewesen und man habe gehofft, damit durchzukommen. Eine offene Erklärung hält er in beiden Fällen für überfällig.

Wen der Wegfall trifft — und wen nicht

Für die große Mehrheit der Spieler bleibt die abgeschaltete Speicherverschlüsselung folgenlos, da Cold-Boot-Angriffe physischen Zugriff auf den Rechner voraussetzen. Anders liegt der Fall bei einer kleineren, klar umrissenen Gruppe.

Sicherheitsbewusste Anwender, Entwickler und Linux-Nutzer verlieren eine Schutzschicht, ebenso Besitzer mobiler Geräte, die in fremde Hände geraten können. Auch wer Kryptowährungen verwaltet und private Schlüssel oder Validator-Knoten im Arbeitsspeicher hält, steht ohne TSME schlechter da. Betroffen sind nach bisherigem Stand reguläre Modelle wie der Ryzen 7 9700X, Berichten zufolge auch der bei Spielern beliebte Ryzen 7 9800X3D.

Offen bleibt indes, wie tief die Abschaltung reicht. Bei einigen Plattformen genügt das AGESA-Update, welches die Funktion per Flag kappt. Bei anderen, etwa bei einem Ryzen AI Max+ 395, deutet einiges darauf hin, dass TSME bereits im Silizium deaktiviert ist und sich per Firmware nicht zurückholen lässt.

AMD ließ entsprechende Nachfragen bislang unbeantwortet; wer auf eine vollständige Speicherverschlüsselung angewiesen ist, kommt derzeit an einem Pro-Modell oder Epyc kaum vorbei. Weitere Details liefern Heise und Ars Technica.

Wie stehen Sie zu diesem Thema? Die PCGH-Redaktion freut sich schon über Ihre Meinung in den Kommentaren zu dieser Meldung. Sollten Sie hingegen noch keinen Extreme-Account haben, laden wir Sie zu einer Registrierung im Forum ein. Beachten Sie beim Kommentieren aber bitte die gültigen Forenregeln. Folgen Sie gerne PCGH bei 🔈 YouTube oder 💬 WhatsApp und erhalten Sie Neuigkeiten zu CPUs, Grafikkarten und Gaming direkt in Ihrem Feed.

Quelle: Ars Technica via Heise

11

    • Kommentare (11)

      Zur Diskussion im Forum
      • Von TurricanVeteran Volt-Modder(in)
        Zitat von Pokerclock
        ... wenn mit dem Feature offen geworben wurde.

        Wurde denn bei den normalen cpu`s damit geworben? Ich kann mich nur an gaming-leistung, boost-taktraten und cache-größen erinnern.
        Bringt es eigentlich leistung, wenn man es aus knipst?
        Zitieren
      • Von TurricanVeteran Volt-Modder(in)
        Zitat von Pokerclock
        ... wenn mit dem Feature offen geworben wurde.

        Wurde denn bei den normalen cpu`s damit geworben? Ich kann mich nur an gaming-leistung, boost-taktraten und cache-größen erinnern.
        Bringt es eigentlich leistung, wenn man es aus knipst?
        Zitieren
      • Von Pokerclock Kokü-Junkie (m/w)
        Zitat von Ishe
        Wie gestaltet sich so eine Änderung rechtlich?
        Hier in Deutschland wird es m.E. einen Gewährleistungsfall auslösen, den auch keine Beweislastumkehr zurechtrücken wird. Die Sachlage ist recht eindeutig, wenn mit dem Feature offen geworben wurde.

        Imgrunde ist das ein Freifahrtschein, um nach knapp zwei Jahren seine CPU wieder zum Händler zurückzuschicken und vom Kaufvertrag zurückzutreten. Wer angenehme 600 € für seinen 9800X3D bezahlt hat, für den könnte das durchaus eine Option sein.

        Einen etwaigen Nutzungsausgleich sollte man hierbei beachten. Der richtet sich nach dem tatsächlichen Kaufpreis, der tatsächlichen Nutzungsdauer und der voraussichtlichen Gesamtnutzungsdauer (Abschreibungstabellen z.B.).

        Recht haben versus Recht bekommen... Viel Spaß das bei Händlern wie Mindfactory abzuziehen. Die Sperren schneller das Kundenkonto als man "Gewährleistungsfall" geschrieben hat.
        Zitieren
      • Von Terracresta BIOS-Overclocker(in)
        Zitat von Ishe
        Ja kann sein dass das drin steht, ich weiss es nicht. Selbst wenn es drin stehen sollte, heisst das ja aber noch lange nicht, das es rechtlich konform ist.

        Deshalb hab ich mal die Frage in den Raum geworfen weil es mich und evtl. den ein oder anderen interessiert. Vll. haben wir ja Juristen unter uns, oder PCGH hat da die Möglichkeit an der richtigen Stelle mal nachzufragen. 😉
        Genau, die können auch reinschreiben, dass man ihnen sein Erstgeborenes opfern muss.
        Aber es gibt sicher einige die es tun würden, da sie denken, wenn es drin steht, muss man sich zwangsläufig daran halten.
        Zitieren
      • Von Titanultra Software-Overclocker(in)
        Da lobe ich mir Intel. Sehr sicher und stabil.
        Zitieren
      • Von Ishe Freizeitschrauber(in)
        Zitat von wanderfalke1988
        In AMDs Endnutzer-Lizenzbedingungen (die wir mit dem Kauf bestätigen) steht mit Sicherheit eine Klausel drin die sie dazu berechtigt.

        Macht den Umstand natürlich nicht besser.
        Ja kann sein dass das drin steht, ich weiss es nicht. Selbst wenn es drin stehen sollte, heisst das ja aber noch lange nicht, das es rechtlich konform ist.

        Deshalb hab ich mal die Frage in den Raum geworfen weil es mich und evtl. den ein oder anderen interessiert. Vll. haben wir ja Juristen unter uns, oder PCGH hat da die Möglichkeit an der richtigen Stelle mal nachzufragen. 😉
        Zitieren
      Direkt zum Diskussionsende
Hoch
  • Print / Abo
    Apps
    PCGH Magazin 07/2026 PC Games 07/2026 play5 07/2026 N-Zone 07/2026 Linux Magazin 07/2026 LinuxUser 07/2026 Raspberry Pi Geek 07/2026
    PC Games Hardware PC Games Linux Magazin Raspberry Pi Geek Computec Kiosk
Die Redaktion Datenschutz Artikel-Archiv Datenschutz-Optionen Mediadaten Impressum Utiq verwalten Abo kündigen Vertrag widerrufen AGB Inhalt melden Newsletter