News AMD Secure Memory Encryption: Sicherheitsfeature verhindert Bootvorgang unter Linux

[B3nutzer]

AIDA64 zeigt mir das an:

 

[Bob.Dig]

HWI zeigt so was auch, ist aber vermutlich einfach nur ein Hinweis, dass die CPU es unterstützt, nicht aber, ob es tatsächlich läuft.

 

[textract]

Was ich an dem Artikel nnicht so wirklich verstanden habe: Ist das ein Bug in der Implementierung in der CPU, oder im Linux?

 

[B3nutzer]

HWI zeigt so was auch, ist aber vermutlich einfach nur ein Hinweis, dass die CPU es unterstützt, nicht aber, ob es tatsächlich läuft.

Ja hast recht. CPUID zeigt nur das an, was die CPU supporten kann. Nicht den Status bzw. aktiviert/deaktiviert. BIOS Settings sind da komplett unberücksichtigt.

 

[Piktogramm]

Da es ja unter Win funktioniert, stellt sich die Frage:
Liegt es an Linux?

https://lists.freedesktop.org/archives/amd-gfx/2021-October/069900.html
AlexDeucher ist einer der prominenten Treiberentwickler für AMDs GPU Sparte. Der Beschreibt das als Problem der Hardwareimplementierung der Boards. Es ist also allenfalls Glückspiel ob es geht. Mitunter muss man sich entscheiden ob die Nutzung der iGPU oder SME wichtiger ist.

 

[nipponpasi]

Ein Glück ist es für Privat eher uninteressant.
Danke für den Hinweis.

 

[cvzone]

Ein Glück ist es für Privat eher uninteressant.

Mal abwarten, ob das andere Boards oder CPUs oder andere Linux Distrubutionen überhaupt betrifft. Wäre ja sonst wirklich relativ unwichtig.

 

[Naru]

Warum sollte ein Privatanwender keinen verschlüsselten Arbeitsspeicher nutzen?

Weil nicht jeder so paranoid denke wie angenommen Du, der meine, drei Schlösser vor der Haustür wehren den Angreifer ab.

 

[Galde]

Ich bin etwas irritiert, wenn das seit Ryzen 1xxx drin ist, wieso fällt das jetzt erst auf? Sollte das Feature jetzt erst unterstützt werden, oder was ist da der Hintergrund?

Weil es wohl in der Kombination aus Raven Ridge und einem B350-Mainboard unter Linux jetzt erstmals aufgefallen ist.

Das Feature wird von Privatanwendern eher selten bis nie genutzt und wenn, dann nicht in der o.g. Kombination/Konstellation.

Deshalb ist es erst jetzt jemanden aufgefallen. Das Feature wird in der Regel auf Ryzen Pro, Threadripper Pro und Epyc im Geschäftsumfeld eingesetzt und da kommt es nicht zu dem genannten Problem.

Gut möglich das der produzierte Fehler schon länger bekannt ist, aber das finden der Ursache lange gedauert hat
Rechner sind heutzutage sehr komplex und durch unterschiedliche Hardware auch einzigartig.
Da kann das finden der Ursache schon mal länger dauern (Zb. wenn der Programmierer gar keine AMD Hardware hat und so schlecht testen kann).

 

[Bob.Dig]

Wen es interessiert: SME verursacht ca. 5-7 ns mehr Latenz (5900X mit DDR4 3800CL16), Rückgang der Bandbreite konnte ich keinen nennenswerten feststellen.

Hab es mal bei mir aktiviert, aber ohne sonstiges Security Gedöns wie TPM etc. Bei mir war es nur ca 1-3 ns, also von 65 auf 66,7 ns. Ist jetzt nicht wirklich weltbewegend oder es ist doch noch nicht aktiv.

Ich lass es mal an und werde bei Auffälligkeiten berichten.

 

[nipponpasi]

Mal abwarten, ob das andere Boards oder CPUs oder andere Linux Distrubutionen überhaupt betrifft. Wäre ja sonst wirklich relativ unwichtig.

So oder so. Ich hoffe wir erfahren es hier auf CB. 😌

 

[Termy]

Warum sollte ein Privatanwender keinen verschlüsselten Arbeitsspeicher nutzen?

Weil das bei Privatanwendern tatsächlich nur für den Angriffsvektor "Polizei kommt reingestürmt, fixiert den RAM mit Flüssigstickstoff und liest ihn dann aus" relevant ist - zumindest würde mir kein anderes Szenario einfallen ^^

 

[Headcool]

In dem Zusammenhang würde mich interessieren ob es mittlerweile vServer mit SVE (oder besser SVE-ES) zu mieten gibt. Meine Suche diesbezüglich hat da nicht viel ergeben.

 

[PS828]

Ich würde es einfach mal aktiveren wollen als Test, aber wo geht das? Nur im UEFI?

 

[cvzone]

Bei mir war es nur ca 1-3 ns,

Bei mir etwas mehr, aber ich hatte vor ca. 2 Wochen damit wiederholt ca. 67,5ns. Die Messung schwankt aber geringfügig immer wieder.

Ergänzung (18. Oktober 2021)

Nur im UEFI?

Ja, unter AMD CBS -> TSME (Tranparent SME)

Wird ggf. erst angezeigt, wenn du IOMMU auf enabled hast

 

[Bob.Dig]

@cvzone Hab auch den Eindruck, dass es wenn aktiviert mehr schwankt, allerdings hatte ich auch nie so eine gute Latenz wie Du sie hast.
Habe auch den Scrambler aktiviert.

 

[cvzone]

TSME ist wohl die "Billigversion" ohne nötigen OS Support. (einzige Option bei meinem Ryzen 5000)

Hier übernimmt die CPU komplett den gesamten Vorgang und verschlüsselt alles. SME ist wohl die steuerbare Teilverschlüsselung und das muss das OS auch können. Dabei geht es hier wohl bei Linux. Das ist logischerweise wohl auch nicht transparent.

 

[itm]

Ich bin etwas irritiert, wenn das seit Ryzen 1xxx drin ist, wieso fällt das jetzt erst auf? Sollte das Feature jetzt erst unterstützt werden, oder was ist da der Hintergrund?

RavenRidge ist ja quasi Zen... In soweit...

 

[Epistolarius]

Raven Ridge kann unter Linux nicht mit SME umgehen

Komische Überschrift. "Ryzen CPU kann unter Linux nicht mit einem Ryzen Feature umgehen"? Sollte wohl eher heißen Linux kann nicht mit einem Ryzen Feature umgehen.

 

[Naru]

Komische Überschrift. "Ryzen CPU kann unter Linux nicht mit einem Ryzen Feature umgehen"? Sollte wohl eher heißen Linux kann nicht mit einem Ryzen Feature umgehen.

Exakt. Den wahren Schuldigen ausfindig zu machen, ist relativ einfach: Software

Tendenziell ist es so, dass die Hauptprozessoren damit nur indirekt zu tun haben. Das Feature als solches ist dem AMD Platform Security Processor (PSP) inhärent; die besagte Unit sitzt auf der Hauptplatine.

Wenn überhaupt einer schuldig ist, so besteht die labile Kompatiblität bzw. Inkompatiblität mit bestimmten CPU-Typen seitens der Firmware des Koprozessors (PSP), AMD Secure Technology. Demzufolge sind die Verursacher die Treiber für Linux. Mit irgendeiner CPU hat die Problematik im direkten Sinne wenig zu tun.