← 返回信息流
AI 资讯Hacker News·1 天前

AMD 悄然移除消费级 Ryzen 处理器内存加密功能

原标题:AMD silently removes memory encryption from consumer Ryzen CPUs

速览

AMD 近期悄然在消费级 Ryzen 处理器中移除了内存加密功能。这一改动可能影响用户数据的隐私保护能力,引发安全社区担忧。此举旨在简化设计或降低成本,但具体原因尚未官方确认。

AI 深度解读

AMD 悄然移除消费级 Ryzen CPU 内存加密功能:安全漏洞还是产品策略?

背景

近期,一项由安全研究人员 Ben Kilpatrick 主导、在 GitHub 上持续数月调查的事件引发了科技界的广泛关注。Kilpatrick 是一名注重隐私的 Linux 爱好者,他在为搭载 Zen 5 架构的 Ryzen 7 9700X 处理器安装新操作系统时,发现了一个令人不安的现象。

为了验证系统的安全配置,他运行了主机安全标识(Host Security ID, HSI)审计工具。尽管他在 BIOS 中一直启用相关设置,但 HSI 报告指出,透明安全内存加密(Transparent Secure Memory Encryption, TSME)功能不再受支持。这一矛盾促使他深入调查,并由此揭开了 AMD 在其消费级 Ryzen 处理器中移除关键安全特性的序幕。

核心内容

根据 Ars Technica 的报道以及 Kilpatrick 在 GitHub 上的详细记录,AMD 已悄然从其非 Pro 系列的消费级 Ryzen CPU 中移除了 TSME 功能。这一变化发生在较新的 AGESA 固件(具体为 1.2.7.0 版本)更新之后,导致用户在不自觉中可能面临物理攻击的风险。

调查过程与 AMD 工程师的反应

Kilpatrick 首先联系了主板制造商 MSI,但初期未得到明确解释。随后,他在 AMD 的公共工程 GitHub 仓库提交了错误报告。AMD 的两位软件工程师 Tom Lendacky 和 Mario Limonciello 参与了讨论。然而,他们的回应令人意外:两人均表示不清楚该功能为何消失,建议用户尝试在 BIOS 中禁用并重新启用该选项,若无效则联系主板厂商。这表明 AMD 内部对此事的了解程度与普通用户相差无几。

在 Kilpatrick 向 MSI 施压后,MSI 工程师进行了受控测试。测试结果显示:

  1. 在旧版固件下,消费级 Ryzen 芯片支持 TSME。
  2. 在 AGESA 1.2.7.0 新版固件下,消费级芯片显示“不支持” TSME。
  3. 相比之下,Ryzen Pro 系列处理器无论固件或主板如何,均始终支持该功能。

关键证据与内部矛盾

Kilpatrick 随后将 MSI 的测试结果反馈给 AMD 工程师,并指出了 AMD 内部言论的前后矛盾:

  • 2020 年的言论:Tom Lendacky 曾确认,消费级 CPU Ryzen 3700X “应该支持 TSME”。
  • 2025 年的言论:Lendacky 再次推荐使用 TSME,并指出主板 BIOS 供应商需暴露该选项。

这些历史评论证明,消费级芯片支持 TSME 并非用户臆想,而是 AMD 工程师多年来的官方确认。

最终回应与现状

面对 Kilpatrick 关于“这是硅片级限制还是固件策略决定”的尖锐提问,AMD 高级首席软件工程师 Mario Limonciello 最终关闭了讨论,回复道:“很抱歉,关于这个话题我没有更多信息可以分享。”

此外,AMD 唯一的官方回应是一封电子邮件,声称 TSME “仅作为 AMD PRO 技术的一部分应用于 PRO CPU”。这是 AMD 首次公开声明该功能仅限于 Pro 系列,尽管该功能在消费级芯片上已稳定运行多年。

目前尚不清楚这一移除是 AMD 有意为之的产品细分策略(将 TSME 保留给 Pro 系列以区分市场),还是 AGESA 1.2.7.0 固件引入的意外回归(Regression/Bug)。无论哪种情况,硅片本身似乎具备运行该功能的能力。

技术细节与检测难度

TSME 是一种固件管理的内存保护机制,它通过加密所有 RAM 数据来防御冷启动攻击、DRAM 接口窃听和内存模块移除等物理攻击。与操作系统管理的 Secure Memory Encryption (SME) 不同,TSME 无需 OS 介入即可静默激活。

值得注意的是,TSME 的移除在 Windows 机器上完全不可检测,而在 Linux 上则需要大量的技术工作才能识别。这意味着安全功能的消失对用户而言是“隐形”的,用户可能在不知情的情况下失去了这一层保护。

关键要点

  • 功能移除:AMD 在较新的 AGESA 固件(1.2.7.0)更新后,移除了消费级 Ryzen CPU 的透明安全内存加密(TSME)功能。
  • 检测困难:该变化在 Windows 上无法察觉,Linux 用户需通过 HSI 等高级工具才能发现,导致用户处于“不知情”的脆弱状态。
  • 内部矛盾:AMD 工程师此前曾公开确认消费级芯片支持 TSME,但如今却以“仅限 Pro 系列”为由拒绝提供更多信息,并终止了 GitHub 上的讨论。
  • 潜在原因不明:目前无法确定这是 AMD 有意将 TSME 作为 Pro 系列独占特性的商业决策,还是固件更新导致的意外技术回归(Bug)。
  • 安全影响:TSME 主要防御针对物理访问的攻击(如直接读取内存数据)。对于普通用户,影响有限;但对于携带敏感数据、使用全盘加密或处于高风险环境(如易被盗或篡改硬件)的用户,这一缺失构成了显著的安全隐患。
  • 官方态度:截至报道发布,AMD 未正式承认或解释这一变化,仅通过邮件重申 TSME 是 PRO 技术的一部分。

意义与影响

这一事件暴露了硬件安全特性在生命周期管理中的透明度问题。TSME 长期以来被视为 Ryzen 处理器安全套件的一部分,用户基于此建立了安全预期。AMD 的悄然移除不仅破坏了这种信任,更因为缺乏明确的公告和检测机制,使得大量用户在不察觉的情况下降低了系统的安全性。

对于普通消费者而言,TSME 主要防范的是物理层面的攻击,因此大多数桌面用户可能不会立即感受到威胁。然而,对于企业用户、隐私倡导者以及需要处理敏感数据的个人来说,这一变化意味着他们必须重新评估其硬件安全策略。如果 AMD 确认这是有意为之的产品细分策略,那么用户若想获得完整的内存加密保护,将被迫转向更昂贵的 Ryzen Pro 或 EPYC 系列处理器。

目前,AMD 的沉默和工程师的回避态度加剧了公众的疑虑。无论最终原因是技术失误还是商业策略,AMD 都需要给出更透明的解释,并考虑是否通过固件更新恢复对消费级芯片的支持,以弥补这一安全缺口。

相关推荐

查看原文 →tomshardware.com