Согласно информации портала ServeTheHome, некоторые производители серверных решений блокируют использование процессоров AMD EPYC на системах других вендоров. Этим действием производитель обеспечивает корпоративных защиту данных и повышенный уровень безопасности для первичного покупателя сервера. Вот только использовать процессор из этой сборки отдельно на материнской плате другого производителя будет нельзя.
В настоящее время использовать систему защиты AMD Platform Secure Boot (PSB) предпочитает Dell. Таким образом компания гарантирует загрузку только на определенной заблокированной аппаратной конфигурации, при изменении которой система не будет работать. Функция PSB активируется с помощью SoC на базе ARM Cortex-A5.
Для производителей безопасность серверов является приоритетом. Такие поставщики, как HPE, Dell и Lenovo, также считают системы на AMD EPYC более безопасными из-за наличия этой опции, чем аналогичные на Intel Xeon.
Это хорошо для новой сборки, которую только что приобрел покупатель. Но если эта система попадет на вторичный рынок и будет разобрана на комплектующие, то у их покупателей начнутся проблемы. Например, чтобы запустить сервер с залоченным под вендора процессором, покупателю придется искать материнскую плату этого вендора с нужным фирмваре (прошивкой) или покупать б\у сервер целиком.
Технически вендоры могут делиться между собой ключами для разблокировки процессоров AMD EPYC. Но это сложный путь, который производители избегают. Для обычных пользователей это означает, что перед покупкой использованного серверного процессора нужно обязательно уточнить у продавца информацию о его серийном номере и получить видео тестов загрузки с проверкой его работы на разных материнских платах перед оплатой.
См. также:
algotrader2013
Так а в чем опасность?) Кто-то резко выдернет процессор, бросит в жидкий азот, и считает содержимое L3?
CaptainFlint
Подумаешь, L3. Вот если кто-то резко выдернет процессор и продаст его подешевле тому, кого можно было раскрутить на покупку сразу целого сервера в сборе — вот это реальная опасность!
fedorro
То что процессор нельзя поставить в плату другого производителя — это лишь следствие. Суть безопасности в построении цепи доверия от процессора до операционной системы. Если внедрить зловредный код на уровень bios\uefi то он останется незаметны для всего что грузится далее. А тут процессор проверяет подпись фирмвари, фирмварь проверяет подпись загрузчика ОС, ОС проверяет подписи прочего ПО, и т.д. — не подкопаешься.
khajiit
Эммм… а зачем для этого лочить проц?
fedorro
В процессор, в одноразовые фьюзы, прописывается ключ для проверки подписи фирмвари. Если процессор вставить в матплату с другой подписью — он же не знает это плата с биос-ом, подписанным другим ключём, или не санкционированно модифицированный биос.
Фьюзы сделаны одноразовыми чтобы никакой зловред никак не смог этот ключ подменить. Поэтому я и написал что лок — это не самоцель, а следствие.
JerleShannara
В случае интеловских процов всё намного проще — прожгли фьюзы, бутром ME спокойно проверил прошивку этого самого ME и пошел плясать далее.
При учёте того, что AMD/Intel не дают исходников PSP/ME даже IBV(AMI, Phoenix, Insyde), что мешало красному лагерю сделать тоже самое, пускай производитель сервера прожигал бы фьюзы, пляша от которых бутром PSP, живущий внутри камня, проверял бы подпись на загрузчике основной программы этого самого PSP.
fedorro
Может ME и проще, но в нем имеются дыры делящие доверие на ноль.
Ну ок, говорите прожгли фьюзы на Интеле — как тогда вставить его в другую матплату без прошивки с тем же ключем? Ключ на плате прошит, или в самом биосе?
JerleShannara
Я вообще против чёрных ящиков в процессорах, но увы, сейчас либо ME/PSP, либо не х86. В другую плату — легко, проверяемый регион прошивки может быть спокойно подписан Intel-ом, благо модули прошивки ME собираются тамже.
fedorro
Вы имеете ввиду что в интеловские процессоры прошит интеловский ключ, и его можно вставить в платы с «биосом», подписанным интеловским ключем.
В том то и проблема, что если Dell не доверяет «биосам» материнок других производителей, которым, доверяет Intel то это его проблема и решения нет.
А с PSB у Dell имеется свой ключ, и получается то же самое что и в первом предложении этого комментария, но заменить Intel на Dell. Вот и не получится нарушить полную цепь доверия компонентов Dell, просто заменив матплату совместимую с данным процессором.
edo1h
а какое деллу вобще до них дело?
vp7
Новый виток струйных принтеров, которые продаются ниже себестоимости, но для которых комплект картриджей стоит 70% от цены нового принтера.
khajiit
Фирмварь-то после этого обновить можно будет хоть?
Ну и утечка ключа === привет, тогда, получается.
fedorro
Фирмварь, которая подписана ключем, который соответствует прошитому — да.
А утечка ключа — ну как бы да, проблем. Но не что не мешает на каждую серию\ревизию плат или корп. клиента иметь свой ключ, чтобы снизить размер привета.
creker
Утечка ключа? Откуда? У вендора что ли? Очевидно в проц шьется публичный ключ. Его никто и не прячет.
Zverienish
Утечь может закрытый ключ. Тогда все системы подписанные им станут не доверенными. И таким только замена оборудования тогда.
creker
Может, но вероятность подобного довольно мала. Последствия этого — процессоры с такими процессорами смогу потенциально принять левую прошивку, которую кто-то подписал утекшим ключом. Не более. Т.е. возвращаемся к тому, что есть сейчас, когда проверок вообще никаких нет.
JerleShannara
При учёте того, что северный мост сейчас уже везде в процессоре живёт, включая ME/PSP сопроцессор, который умеет проверять свою прошивку, которая умеет проверять биос/ефи, который умеет проверять опромы и загрузчики операционных систем возникает вопрос — чем в этом поможет вендорлок процессора?
JerleShannara
Опасность в том, что в сервер фирмы Лирково с лоховым процессором кто-то поставит б/у мощный процессор из сервера ХармаловПрезент и лирково недополучит прибыль.