AMD Secure Processor PSP wohl bei einigen Ryzen-Mainboards abschaltbar
BIOS-Setup des ASRock AB350M Pro4 mit Option "BIOS PSP Support"
Neue BIOS-Versionen für einige AM4-Mainboards bringen eine Option im BIOS-Setup, die Teilfunktionen des AMD Secure Processor PSP auf Basis von ARM TrustZone abschaltet.
Für Asrock-Mainboards wie das AB350M Pro4 sind BIOS-Updates auf Version 4.1 erschienen, die eine BIOS-Setup-Option namens "BIOS PSP Support" enthalten. Laut Hilfetext schaltet diese Option die Ausführung des PSP-Treibers im UEFI-BIOS ein oder aus. Läuft der PSP-Treiber nicht, fehlen einige Funktionen wie das fTPM (TPM 2.0 in Firmware), der abgesicherte Standby-Zustand Secure S3 und bislang schlecht dokumentierte Funktionen wie "C2P/P2C Mailbox".
Ob die BIOS-Setup-Option den gesamten Funktionsumfang des ehemals Platform Security Processor (PSP) genannten Systems [1] lahmlegt, ist mangels Dokumentation ebenso unklar wie bei den Firmware-Patches zur teilweisen Abschaltung der Intel Management Engine (ME) [2].
AMD nennt den PSP mittlerweile "AMD Secure Technologie [3]", dokumentiert aber deren Funktion nicht öffentlich. Bekannt ist, dass alle aktuellen AMD-Prozessoren einen eingebetteten 32-Bit-Mikrocontroller vom Typ ARM Cortex-A5 mit TrustZone [4] enthalten. Firmware vermutlich von Trustonic realisiert damit den PSP. Die PSP-Firmware wiederum ist im UEFI-BIOS-Blob AGESA [5] enthalten, den AMD den BIOS- beziehungsweise Mainboard-Herstellern zuliefert.
Keine Dokumentation
Laut Libreboot-FAQ ähneln viele PSP-Funktionen der von Intels ME [6]. Unter anderem stellt der PSP eben ein fTPM [7] bereit. Das wiederum (oder ein diskretes TPM 2.0) ist Voraussetzung für aktuelle PCs mit Windows-10-Logo [8] (Windows Logo Requirements).
(Bild: Gigabyte)
Eine Übersicht von Befehlen zum P2C Mailbox Handling und zum C2P Mailbox Handling des AGESA-PSP-Moduls findet sich in einem BIOS-Handbuch zu AMD-Epyc-Serverboards von Gigabyte [9]. Die Funktionen sind dort aber nicht erklärt. AMD hat auch bisher noch keine Datenblätter und auch keinen BIOS and Kernel Developer's Guide zu den Zen-Prozessoren (Family 17h) [10] veröffentlicht.
Laut Reddit [11] soll die Option zur Abschaltung des PSP-BIOS-Treibers auch mit BIOS-Updates für einige Gigabyte-AM4-Mainboards kommen.
Das Asrock AB350M Pro4 [12] mit AM4-Fassung für AMD Ryzen kommt zufällig auch in einem PC-Bauvorschlag in der kommenden c't 26/2017 zum Einsatz. (ciw [13])
URL dieses Artikels:
https://www.heise.de/-3913635
Links in diesem Artikel:
[1] https://www.heise.de/news/AFDS-2012-AMD-kuendigt-APU-Kombiprozessoren-mit-ARM-Kernen-an-1616557.html
[2] https://www.heise.de/news/Intel-Management-Engine-ME-weitgehend-abschaltbar-3814631.html
[3] http://www.amd.com/de-de/innovations/software-technologies/security
[4] https://www.heise.de/news/ClkScrew-Geheime-Schluessel-mit-der-Brechstange-aus-der-ARM-Trustzone-auslesen-3841424.html
[5] https://www.heise.de/news/BIOS-Updates-fuer-kommende-Ryzen-Prozessoren-3875410.html
[6] https://libreboot.org/faq.html#amd
[7] https://www.heise.de/news/Vorab-Spezifikation-fuer-Trusted-Platform-Modules-2-0-1743090.html
[8] https://www.heise.de/news/Windows-10-Neue-Geraete-nur-mit-UEFI-Secure-Boot-und-TPM-2582371.html
[9] http://download.gigabyte.cn/FileList/manual/server_manual_bios_e_amd_epyc_10.pdf
[10] https://developer.amd.com/resources/developer-guides-manuals/
[11] https://www.reddit.com/r/linuxmasterrace/comments/7i6kl7/amd_listened_to_us_and_added_a_psp_disable_option/
[12] https://www.asrock.com/mb/AMD/AB350M%20Pro4/index.asp#BIOS
[13] mailto:ciw@ct.de
Copyright © 2017 Heise Medien