Google dichtet Speicherverschlüsselung des AMD Epyc ab
Google-Sicherheitsexperten fanden mehrere Fehler in der RAM-Verschlüsselung AMD SVE des Epyc 7003 für "Confidential Computing" in der Cloud.
AMD Epyc 7663 "Milan"
(Bild: c't)
Viele Cloud-Dienstleister bieten "Confidential Computing"-Instanzen an, die die Daten ihrer Kunden vor unbefugten Zugriffen schützen sollen. Zu den gängigen Confidential-Computing-Funktionen gehört RAM-Verschlüsselung; das setzen AMD-Epyc-Prozessoren mit "Secure Encrypted Virtualization" (SEV) um. Die Sicherheitsexperten des Google Project Zero (GPZ) haben die SEV-Funktionen des AMD Epyc 7003 "Milan" genauer untersucht, der auch in Google Cloud zum Einsatz kommt (Instanztyp C2D). Dabei fanden die GPZ-Experten mehrere Schwachstellen und Fehler in der Umsetzung, die AMD mittlerweile behoben hat.
GPZ beschreibt die Fehler im Dokument "AMD Secure Processor for Confidential Computing - Security Review".
AMD hat die nötigen Patches in die AGESA-Version MilanPI-SP3_1.0.0.7 eingebaut, die in BIOS-Updates der jeweiligen Server- und Mainboard-Hersteller einfließt.
Auch für Epyc-Prozessoren der ersten und zweiten Generation (Naples, Rome) gibt es Sicherheitspatches, die AMD im Security Bulletin AMD-SB-1028 auflistet. Insgesamt geht es um 14 CVE-Einträge, von denen die meisten als "mittel" eingestuft sind und nur einer als "hoch".
Häufige Patches
Für die komplizierte RAM-Verschlüsselung musste AMD schon mehrfach Sicherheitsupdates nachreichen.
Aber auch für Intels SGX gab es schon mehrere Patches, auch gestern hat Intel dafür Microcode-Updates veröffentlicht (Intel-SA-00614) und empfiehlt Updates für Linux-Treiber (Intel-SA-00603)
(ciw)
