Selama hampir satu dekade, AMD menawarkan fitur keamanan yang tenang namun kuat pada banyak prosesor konsumennya: Transparent Secure Memory Encryption, atau TSME. Fitur ini mengenkripsi semua data yang disimpan dalam memori sistem, membuat serangan cold boot dan eksploitasi fisik lainnya pada dasarnya tidak berguna. Kemudian AMD menghilangkan fitur ini dari chip konsumennya, tanpa memberi tahu siapa pun.
Fitur ini, yang terkadang dipasarkan sebagai AMD Memory Guard, bekerja dengan menghasilkan kunci enkripsi saat boot melalui AMD Secure Processor. Setiap byte yang ditulis ke RAM dienkripsi secara transparan, tanpa memerlukan keterlibatan sistem operasi.
Apa yang terjadi dan mengapa hal ini penting
AMD memperkenalkan TSME pada tahun 2017, awalnya sebagai fitur standar pada prosesor Ryzen PRO yang ditujukan untuk lingkungan perusahaan dan bisnis. Seiring waktu, perlindungan ini merambah ke chip Ryzen konsumen kelas bawah.
Kemudian, tanpa pengumuman publik atau perubahan dokumentasi, AMD mulai menonaktifkan fitur tersebut pada tingkat silikon pada beberapa model konsumen non-PRO. Ryzen AI Max+ 395 adalah salah satu contoh yang dikonfirmasi di mana TSME dinonaktifkan secara desain.
Ini masalahnya: ini bukan pembaruan firmware yang bisa diperhatikan pengguna. Fitur ini dihapus pada tingkat perangkat keras, artinya tidak ada pengaturan perangkat lunak yang bisa mengembalikannya. Dan mendeteksi apakah TSME aktif di mesin Windows ternyata sangat sulit, kemungkinan memerlukan alat berbasis Linux atau pemeriksaan diagnostik khusus untuk memastikannya.
Dampak keamanannya nyata
Serangan cold boot terdengar eksotis, tetapi merupakan vektor ancaman yang telah terdokumentasi dengan baik. Penyerang dengan akses fisik ke mesin dapat membekukan modul RAM, mencabutnya, dan membaca data sisa sebelum menghilang. TSME menetralisir ini dengan memastikan data di memori selalu terenkripsi, terlepas dari apa yang sedang dilakukan sistem operasi.
Biaya kinerja untuk perlindungan ini sangat kecil. Dokumentasi AMD sendiri menempatkan overhead biasanya di bawah 5%.
AMD tampaknya semakin memperjelas perbedaan antara lini produk PRO dan non-PRO. Chip PRO tetap menyertakan TSME sebagai fitur standar. Chip konsumen, bahkan yang kelas atas, memiliki fitur ini dimatikan secara permanen pada tingkat silikon. Arsitektur sama, proses manufaktur sama, konfigurasi fuse berbeda.
Mengapa pengguna kripto harus memperhatikan
Jika Anda menjalankan antarmuka dompet perangkat keras, mengelola kunci pribadi, atau menjalankan perangkat lunak node jenis apa pun pada sistem AMD konsumen, hal ini secara langsung berkaitan dengan Anda. Enkripsi memori menyediakan lapisan pertahanan terhadap serangan fisik yang menargetkan kunci kriptografi dan data sensitif yang disimpan di RAM selama operasi.
Dompet perangkat keras sendiri menyimpan kunci di secure element, tetapi mesin host tetap menangani operasi sensitif selama penandatanganan transaksi, inisialisasi dompet, dan pembaruan firmware. Bus memori yang tidak terenkripsi pada host menciptakan permukaan serangan potensial yang dirancang untuk ditutup oleh TSME.
Untuk siapa pun yang menjalankan validator node, infrastruktur staking, atau operasi DeFi pada perangkat keras berbasis AMD, tidak adanya enkripsi memori berarti akses fisik ke mesin berpotensi mengekspos kunci pribadi, seed phrase, atau token sesi yang sedang berada di memori. Ini sangat relevan bagi operator di pusat data yang berbagi ruang, di mana keamanan fisik bersifat bersama daripada mutlak.
Intel menawarkan teknologi enkripsi memori sendiri, Total Memory Encryption, pada beberapa lini prosesor. Apakah Intel mempertahankan ketersediaan luas fitur ini di seluruh produk konsumennya bisa menjadi pembeda signifikan bagi pembeli yang peduli terhadap keamanan.
Pengguna yang memilih AMD sebagian karena postur keamanannya sekarang harus memverifikasi ketersediaan fitur pada setiap chip yang mereka beli, dengan alat yang tidak mudah digunakan di sistem operasi desktop paling populer di dunia.