Yaklaşık on yıl boyunca, AMD, birçok tüketici işlemcisinde şeffaf güvenli bellek şifrelemesi (TSME) adlı sakin ama güçlü bir güvenlik özelliği sundu. Bu özellik, sistem belleğinde saklanan tüm verileri şifreleyerek soğuk başlatma saldırılarını ve diğer fiziksel istismarları neredeyse kullanılsız hale getirdi. Ardından AMD, bu özelliği tüketici çiplerinden kaldırdı ve kimseye haber vermedi.
Bazen AMD Bellek Koruma olarak pazarlanan bu özellik, AMD'nin Güvenli İşlemcisi aracılığıyla başlatma sırasında bir şifreleme anahtarı oluşturarak çalışır. RAM'e yazılan her bayt, işletim sistemi katılımına gerek olmadan şeffaf şekilde şifrelenir.
Ne oldu ve neden önemli
AMD, TSME'yi 2017 yılında ilk olarak kurumsal ve iş ortamları için tasarlanan Ryzen PRO işlemcilerinde standart bir özellik olarak tanıttı. Zamanla bu koruma, daha düşük fiyatlı tüketici Ryzen çiplerine de yayıldı.
Daha sonra, herhangi bir kamu açıklaması veya belge değişikliği olmadan, AMD belirli PRO olmayan tüketici modellerinde bu özelliği silikon seviyesinde devre dışı bırakmaya başladı. TSME'nin tasarım olarak devre dışı bırakıldığı onaylanmış bir örnek, Ryzen AI Max+ 395'tir.
Şu şey var: Bu, kullanıcıların fark edebileceği bir donanım güncellemesi değildi. Özellik, donanım seviyesinde kaldırıldı, yani hiçbir yazılım açma/kapama düğmesi onu geri getiremezdi. Bir Windows makinesinde TSME'nin etkin olup olmadığını tespit etmek, doğrulamak için Linux tabanlı araçlar veya özel teşhis kontrolleri gerektirebilecek kadar şaşırtıcı derecede zor çıktı.
Güvenlik etkileri gerçek.
Soğuk başlatma saldırıları egzotik gibi görünse de iyi belgelenmiş bir tehdit vektörüdür. Fiziksel erişimi olan bir saldırgan, RAM modüllerini soğutabilir, çıkarabilir ve veriler bozulmadan önce kalıntı verileri okuyabilir. TSME, işletim sisteminin ne yaptığını önemsemeksizin bellekteki verilerin her zaman şifreli kalmasını sağlayarak bunu nötralize eder.
Bu korumanın performans maliyeti çok düşüktür. AMD'nin kendi belgelerine göre fazladan yük genellikle %5'in altındadır.
AMD, PRO ve PRO olmayan ürün katmanları arasında daha net bir ayrım çiziyor gibi görünüyor. PRO çiplerde TSME standart bir özellik olarak korunuyor. Tüketici çipleri, yüksek performanslı olsalar bile, silikon seviyesinde bu özelliği kapatılmış durumda. Aynı mimari, aynı üretim süreci, farklı erişim ayarları.
Neden kripto kullanıcıları dikkat etmeliler
Bir donanım cüzdan arayüzü çalıştırıyorsanız, özel anahtarları yönetiyorsanız veya tüketici AMD sisteminde herhangi bir node yazılımı işletiyorsanız, bu sizin için doğrudan önemlidir. Bellek şifrelemesi, işletim sırasında RAM'de saklanan kriptografik anahtarları ve hassas verileri hedef alan fiziksel saldırılar karşıtı bir savunma katmanı sağlar.
Donanım cüzdanlar kendileri anahtarları güvenli öğelerde saklar, ancak ana makine hala işlem imzalama, cüzdan başlatma ve donanım güncellemeleri sırasında hassas işlemleri yürütür. Ana makinedeki şifrelenmemiş bellek yolu, TSME'nin kapatmak üzere tasarlandığı bir potansiyel saldırı yüzeyi oluşturur.
AMD tabanlı donanımda doğrulayıcı node, stake altyapısı veya DeFi operasyonları çalıştıran herkes için, bellek şifrelemesinin olmaması, bellekte bulunan özel anahtarları, anahtar cümlelerini veya oturum belirteçlerini fiziksel erişimle ortaya çıkarma potansiyeline sahiptir. Bu, fiziksel güvenliklerin mutlak değil, paylaşımlı olduğu ortak veri merkezlerindeki operatörler için özellikle önemlidir.
Intel, belirli işlemci hatlarında Toplam Bellek Şifreleme adlı kendi bellek şifreleme teknolojisini sunar. Intel'in bu özelliğin daha geniş bir şekilde tüketici ürün yelpazesinde kullanılabilirliğini koruyup korumaması, güvenlik odaklı alıcılar için anlamlı bir farklılaştırıcı olabilir.
AMD'yi güvenlik durumu nedeniyle kısmen seçen kullanıcılar, dünyanın en popüler masaüstü işletim sisteminde kolay olmayan araçlarla satın aldıkları her çip üzerinde özellik kullanılabilirliğini doğrulamak zorunda kalıyor.