News AMD Secure Memory Encryption: Sicherheitsfeature verhindert Bootvorgang unter Linux

[SVΞN]

Die Aktivierung des Sicherheitsfeatures AMD Secure Memory Encryption, welches im Februar 2017 mit den Ryzen-Prozessoren der ersten Generation eingeführt wurde und durch eine Verschlüsslung des Arbeitsspeichers für mehr Sicherheit sorgen soll, kann unter Linux zu Problemen beim Bootvorgang und vermehrten Abstürzen führen.

Zur News: AMD Secure Memory Encryption: Sicherheitsfeature verhindert Bootvorgang unter Linux

 

[konkretor]

Das finde ich so toll an Open Source, ich kann mir direkt den Commit anschauen was geändert würde

Was weniger toll ist, das dieses Feature wohl noch ein paar fixes braucht.

 

[ZenMasterTM]

Das Feature ist soweit ich weiß nur eines der aktuellen Ryzen Pro CPUs. Privatanweder mit Consumergeräten dürften keine Probleme haben. Wurde es denn auch mit neueren CPUS getestet? Ich hab im Bericht nur ältere CPUs gesehen.

 

[SVΞN]

Das Feature ist soweit ich weiß nur eines der aktuellen Ryzen Pro CPUs.

Nein. Der entsprechende Sicherheitsprozessor ist seit Summit Ridge alias Ryzen 1000 in den CPUs und wie die Meldung von Paul Menzel zeigt, lässt sie sich auch problemlos mit einem Raven Rigde, einer AMD Ryzen 2000 APU aktivieren.

Relevant ist sie aber in erster Linie für Ryzen Pro, Threadripper/Threadripper Pro und Epyc. Unter Windows kam es bislang noch nicht zu diesen Problemen und für Privatanwender ist diese Baustelle auch nicht sonderlich relevant. Dennoch gut, dass das aufgefallen ist.

Dürfte jetzt auch keine große Sache sein, das zu fixen.

 

[ZenMasterTM]

@SV3N Ich hab mich falsch formuliert sorry. Danke

 

[Caradhras]

Ich bin etwas irritiert, wenn das seit Ryzen 1xxx drin ist, wieso fällt das jetzt erst auf? Sollte das Feature jetzt erst unterstützt werden, oder was ist da der Hintergrund?

 

[cvzone]

Wen es interessiert: SME verursacht ca. 5-7 ns mehr Latenz (5900X mit DDR4 3800CL16), Rückgang der Bandbreite konnte ich keinen nennenswerten feststellen.

Habs aber wieder deaktviert. Privat ja wirklich nicht nötig.

 

[AGB-Leser]

Warum sollte ein Privatanwender keinen verschlüsselten Arbeitsspeicher nutzen?

 

[Zornica]

[] wieso fällt das jetzt erst auf? Sollte das Feature jetzt erst unterstützt werden, oder was ist da der Hintergrund?

genau mein Gedanke... musste erst extra nochmal checken ob diese News tatsächlich neu ist...

 

[cvzone]

Warum sollte ein Privatanwender keinen verschlüsselten Arbeitsspeicher nutzen?

Falls sich die Frage auf meine Aussage bezieht: Ich habe nichts von "sollte" geschrieben, nur von nicht nötig, da das Schutzinteresse doch in der Regel geringer ist.

Warum beschwert sich hier jeder Zweite wegen 2% weniger FPS aufgrund des sehr sinnvollen VBS/HVCI? Gaming Performance... SME erhöht halt die Speicherlatenz.

 

[SVΞN]

Ich bin etwas irritiert, wenn das seit Ryzen 1xxx drin ist, wieso fällt das jetzt erst auf?

Weil es wohl in der Kombination aus Raven Ridge und einem B350-Mainboard unter Linux jetzt erstmals aufgefallen ist.

Das Feature wird von Privatanwendern eher selten bis nie genutzt und wenn, dann nicht in der o.g. Kombination/Konstellation.

Deshalb ist es erst jetzt jemanden aufgefallen. Das Feature wird in der Regel auf Ryzen Pro, Threadripper Pro und Epyc im Geschäftsumfeld eingesetzt und da kommt es nicht zu dem genannten Problem.

 

[Mickey Cohen]

Wen es interessiert: SME verursacht ca. 5-7 ms mehr Latenz (5900X mit DDR4 3800CL16), Rückgang der Bandbreite konnte ich keinen nennenswerten feststellen.

Habs aber wieder deaktviert. Privat ja wirklich nicht nötig.

ms? das wäre ja heftig, du meinst nanosekunden, oder?

 

[cvzone]

du meinst nanosekunden, oder?

Natürlich, danke für den Hinweis.

 

[B3nutzer]

Das feature ist aber standardmäßig deaktiviert oder?

Ich kanns im UEFI auch grad nicht finden...

 

[cvzone]

standardmäßig deaktiviert oder?

Ja, ist bei den AMD CBS Einstellungen zu finden.

 

[SVΞN]

Das feature ist aber standardmäßig deaktiviert oder?

Ja. Standardmäßig ist es nicht aktiviert und muss vom Anwender scharf geschaltet werden.

Ja, ist bei den AMD CBS Einstellungen zu finden.

So ist es. Bei 9 von 10 Mainboards ist das Feature in den AMD CBS Setting zu finden. Bei einigen wenigen Boards ist es unter Security gelistet, damit man es schneller erreichen kann.

Für den Privatanwender ist der Leistungsverlust insbesondere in Spielen zu groß und ein direktes Angriffszenario auf die Daten im Arbeitsspeicher viel zu abwegig, dass das irgendwo Sinn machen würde.

AMD bewirbt die Funktion nicht ohne Grund nur mit den Pro Modellen und Epyc.

 

[cvzone]

AMD selber sagt dazu

The encryption and decryption of memory through the AES engine does incur a small amount of additional latency for DRAM memory accesses. The impact of this latency to software is very dependent on the system workload but is estimated to have a very small overall effect on system performance.

https://developer.amd.com/wordpress/media/2013/12/AMD_Memory_Encryption_Whitepaper_v7-Public.pdf

Und das auch nur bei Vollverschlüsselung. Teilverschlüsselung ist wohl nicht nennenwert laut AMD.

 

[Bob.Dig]

@cvzone Kann man das mit irgend einem Tool oder in Windows selbst sehen, ob die Funktion aktiviert wurde? Bin nur neugierig.

 

[Boombastic]

Da es ja unter Win funktioniert, stellt sich die Frage:
Liegt es an Linux?

 

[cvzone]

irgend einem Tool oder in Windows selbst sehen

Ich meine nicht. Das ist laut AMD eine volltransparente Verschlüsselung.

PS: Die CPUID gibt wohl ein passendes Bit zurück, aber welche Tools das auslesen weiß ich nicht. (als SME und/oder SEV)