AMD Epyc: Sicherheits-Update für RAM-Verschlüsselung
AMD schließt eine Sicherheitslücke in der RAM-Verschlüsselung "Secure Encrypted Virtualization" (SEV), durch die sich der Schlüssel erraten ließ.
Mainboard für AMD Epyc
(Bild: c't/Christof Windeck)
AMDs Epyc-Serverprozessoren können den angebundenen Arbeitsspeicher verschlüsseln, um mehrere gleichzeitig laufende virtuelle Maschinen untereinander und gegen den Host stärker abzuschotten. AMD nennt die Funktion Secure Encrypted Virtualization (SEV): Pro VM verwaltet der im Prozessor integrierte AMD Secure Processor (Platform Security Processor/PSP) einen eigenen geheimen Schlüssel, mit dem der Speicher-Controller den Speicher im jeweils von der VM belegten Adressbereich mit AES-128 verschlüsselt.
Sicherheitsexperten von Googles Cloud Security Team entdeckten die Sicherheitslücke CVE-2019-9836 in der Implementierung der Verschlüsselung mit elliptischen Kurven (ECC) im AMD PSP: Mit einem sogenannten "Invalid Curve"-Angriff kann Malware sukzessive den jeweils verwendeten geheimen Schlüssel extrahieren.
Die SEV-Schwachstelle ist in der SEV-Firmware für die erste Epyc-Generation (Naples) bis zur Version 0.17 Build 11 enthalten; AMD stellt zur Abhilfe die aktualisierte Firmware 0.17 Build 22 bereit.
Siehe zu AMD SEV auch:
- heise+: RAM-Verschlüsselung bei AMD und Intel (kostenpflichtig)
(ciw)
