Vendor-Lock: EPYC-Prozessoren können auf bestimmte Hersteller beschränkt sein

HWL News Bot

HWL News Bot

News
Thread Starter
Mitglied seit
06.03.2017
Beiträge
113.949
amd-epyc-2ndgen.jpg
Zunächst einmal vorweg: Das in der Folge beschriebene Problem rund um einen Vendor-Lock bei den EPYC-Prozessoren ist nicht neu. Für Käufer der Prozessoren über den normalen Handel stellt es auch kein Problem dar und auch grundsätzlich gilt für den Gebrauchtmarkt nicht, dass sich EPYC-Prozessoren nicht mehr in anderen Servern bzw. auf anderen Mainboards verwenden lassen, aber eine derartige Einschränkung scheint dennoch auf größeres Interesse zu stoßen und daher sollte man das Thema auch einmal besprechen.
... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Und inwiefern ist das jetzt sicherer, wenn die CPU nur auf einem bestimmten Mainboard laufen kann?
Wenn mein Angreifer soweit kommt und physischen Zugriff auf meinen Server hat, habe ich doch ganz andere Probleme als eine ausgetauschte CPU. Oder ist das so wie mit Autoradios, dass die nach Diebstahl gelockt sind und sich somit nicht mehr lohnt :fresse:
 
Nonaamee schrieb:
Und inwiefern ist das jetzt sicherer, wenn die CPU nur auf einem bestimmten Mainboard laufen kann?
Wenn mein Angreifer soweit kommt und physischen Zugriff auf meinen Server hat, habe ich doch ganz andere Probleme als eine ausgetauschte CPU. Oder ist das so wie mit Autoradios, dass die nach Diebstahl gelockt sind und sich somit nicht mehr lohnt :fresse:
Zum Vergrößern anklicken....
Die Idee ist eben, dass ein Angreifer mit physischen Zugriff nicht einfach so deine Firmware austauschen kann um auf diese Weise z.B. indirekt die Festplattencrypto zu umgehen (Stichwort "Evil Maid Attack"). Natürlich würde hier auch ein normaler Keylogger ausreichen um beim nächsten Bootvorgang das Passwort mitzulesen, aber einen solchen entdeckt und entfernt man leicher als bösartige Firmware welche zudem noch tiefer im System verankert ist.

Aber irgendwie ist die Umsetzung von AMDs PSB nicht ganz überzeugend. Ich würde also eher auf OpenTitan bzw Microsofts Project Cerberus setzen sobald diese irgendwann allgemein verfügbar sind. Dann gibts zumindest keinen Vendorlock und man kann die CPU auch noch problemlos woanders einbauen..
 
Zuletzt bearbeitet:
Das Ziel ist imho nicht eine Sicherheitsbarriere bei physischem Zugriff.
Hat ein Angreifer physischen Zugriff hast du sowieso verloren.

Was verhindert werden soll ist in meinen Augen ein Überschreiben des UEFI mit einer unsignierten Variante (Rootkit). Die hat dann logischerweise nicht die Schlüssel des originalen UEFIs und die CPU weigert sich zu booten.
 
Danke für die Erläuterung, jetzt hab ich's auch kapiert. :LOL:
Man will nicht die CPU ans System binden sondern quasi das UEFI an die CPU.

Heißt bei physischem Zugriff müsste ich das UEFI mitsamt der CPU tauschen, beim viel größeren Problem dass ich eine Software einschleusen kann bekomme ich aber kein manipuliertes UEFI gebootet.

Wäre natürlich im Sinne des Gebrauchtmarkts wünschenswert die CPU zumindest hinterher wieder "unlocken" zu können, aber damit das Sicher ist müsste es auf einem Weg statt finden können der per Software auf dem entsprechenden System in dem die CPU originalerweise läuft nicht machbar ist, sonst liefert man die Hintertür ja gleich mit.
 
Naja, eigentlich geht es darum, das System während des Bootvorgangs besonders zu schützen. Normalerweise ist zu diesem Zeitpunkt das System am unsichersten da hier noch kein Betriebsystem läuft welches im Idealfall seine eigenen Sicherheitsmechanismen mit sich bringt. Vor allem bei der eigentlichen Initialisierungsphase wird halt erstmal *irgendein* Code aus einem Speicher geladen um die CPU zu "starten". Und hier wird eben erstmal nicht die Integrität dieses Codes verifiziert. Auch nicht vom UEFI. Heißt sobald ein Angreifer hier ansetzt, kann er quasi beliebigen Code ausführen ohne das es irgendwer merken würde. Deswegen will man hier eine "Root of Trust" etablieren und entsprechend auch diese Initialisierung der Hardware entsprechend zu verifizieren. Also ja, man kann es als Schutzmechanismus für das UEFI sehen, aber zumindest andere Sicherheitschips können noch mehr wie z.B. Attestation und KeyStorage.
 
Das Thema wäre viel spannender, wenn es auf Intelseite wäre. Man was hätte ich da wieder Spaß beim Lesen des Bashings.
 
Liegt wohl eher daran, dass Intel in der Vergangenheit gezeigt hat, wie anfällig die Intel Management Engines gegen Manipulationen waren, welche auch lange Zeit nicht geschlossen waren.
Selbst das BIOS / UEFI war / ist nicht so sicher, wie Intel Marketing Folien versprechen.
 
preisi schrieb:
Natürlich würde hier auch ein normaler Keylogger ausreichen um beim nächsten Bootvorgang das Passwort mitzulesen, aber einen solchen entdeckt und entfernt man leicher als bösartige Firmware welche zudem noch tiefer im System verankert ist.
Zum Vergrößern anklicken....
Es gibt bereits Keylogger, die im Tastaturcontroller integriert sind. Die findest Du als Normalsterblicher nie.
 
Anmelden, um zu antworten.

Ähnliche Themen

xmogelx
[User-Review] Lesertest mit ADATA/XPG und ASUS - XPG Invader X BTF - ASUS TUF Gaming Z790-BTF WiFi
Antworten
0
Aufrufe
219
xmogelx
xmogelx
M
[User-Review] LG gram 17 17Z90S-G.AA78G
Antworten
7
Aufrufe
1K
mz_z
M
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh