fTPM über PTT Aktualität

DonSerious

Captain
Registriert
Aug. 2010
Beiträge
3.630
Moin,
Vorneweg: i7-8700K auf einem Gigabyte Z370P D3 (TPM 2.0 fähig)

Ich würde gerne wenn es so weit ist PTT aktivieren um W11 installieren zu können. Ein hardwarebasierendes TPM hätte ich mir gerne zugelegt, leider sind die wohl nur 1-2 Jahre nach Release der Module verkauft worden.
Also bleibt demnach nur fTPM über PTT. Hier gab es aber schonmal eine Sicherheitslücke 2019 (TPM Fail). Leider ist über die Bios Updates nicht ersichtlich ob man sich dem angenommen hatte. Daher meine Frage: wie läuft das? Braucht man spezielle Boards die fTPM besser pflegten als andere oder kommdn die Updates wie bei Meltdown auch zeitnah über Windows Update?

Es geht um diesen Artikel
https://www.heise.de/security/meldu...dates-und-Testsoftware-von-Intel-4587272.html

Und die Bios Changelogs meines Boards beziehen sich zu keinem Zeitpunkt auf die Sicherheitslücke, lediglich Spectre/Meltdown.
https://www.gigabyte.com/Motherboard/Z370P-D3-rev-10/support#support-dl

Macht es also überhaupt Sinn fTPM zu aktivieren oder lieber auf neue Module zu warten wobei vermutlich jeder Hersteller da sein eigenes Süppchen kocht.

Danke
 
Gehe auf https://www.tweaktown.com.

Lege einen Account an und Frage im Gigabyte-Forum --> Latest Bios "Stasio".

Vielleicht kann er dir helfen
 
Nicht nur das BIOS/UEFI aktuell halten, sondern auch die ME-Firmware.
Notfalls die FW selber manuell patchen. ;)
Den Sicherheits-Status kannst da mit einem Intel Tool überprüfen.
https://downloadcenter.intel.com/de...-Engine-Version-Detection-Tool-Intel-CSMEVDT-
Wenn TPM wirklich zwingend wird, dann werden auch demnächst TPM-Module erhältlich sein. Dann aber deutlich teuer. Dann werden wahrscheinlich auch die Hersteller sich besser um die Aktualisierung kümmern. ;)
 
Zuletzt bearbeitet:
@DonSerious

Ist genau, wie ich's mir gedacht habe: Im letzten BIOS-Update F15b für Dein Board steckt die CSME 11.8.81.3807. Vor TPM-Fail geschützt bist Du ab 11.8.65.
Gigabyte macht für sowas nicht viel Aufhebens.

Den Beta-Status des BIOS-Updates kannst Du ignorieren: Ist bei mir genauso und wird sich bei EOL-Produkten vermutlich auch nicht mehr ändern.

Power-Cycle beim Update zulassen, sonst wird die CSME nicht installiert!
 
  • Gefällt mir
Reaktionen: DonSerious
Moin und danke für die Aufklärung. Muss man dann auch kein Firmware Update für Intel ME machen? So wie ich das verstanden habe hat CSME ME ersetzt. Da gab es damals aber doch auch eine Sicherheitslücke:
https://www.computerbase.de/2020-03/sicherheitsluecke-csme-intel/

Kann man da überhaupt noch mehr machen als bios updaten? Das Problem was ich damit eher habe ist, dass bios updates oft das OC Verhalten verändern. So findet man zum Z370p d3 ähnliches wie zu meinem Sandy bridge Board. Klar, würde eh irgendwann auf den 9900K wechseln und würde um F14 eh nicht rumkommen aber klar dass die FW von 2017 weder TPM Fail noch die Lücken aus 2020 stopfen dürfte.
Woher hast du die versionsinfo? Im Endeffekt gibt's ja immer mal wieder News zu Lücken. Ist die CSME Version relativ aktuell?
Normalerweise waren die Intel ME speziell nummeriert da für jedes Board eigene. Da bin ich nie so dahintergestiegen.

Also ich lese heraus dass Bios F15b auf neuestes ME und MC updatet. Microcode kann man glaube ich eh nicht anders einspielen

Danke
 
DonSerious schrieb:
Moin und danke für die Aufklärung. Muss man dann auch kein Firmware Update für Intel ME machen? So wie ich das verstanden habe hat CSME ME ersetzt.
yep
DonSerious schrieb:
Betrifft aber auch nur alle CSMEs (für LGA-1151v2-Chipsätze) älter als 11.8.65.
DonSerious schrieb:
Kann man da überhaupt noch mehr machen als bios updaten?
Die CSME läuft gesondert vom UEFI auf einem separaten Mikrocontroller im Chipsatz.
Man kann die CSME auch unabhängig vom BIOS-Update einzeln updaten. Von ASUS kenne ich das so.
Wer "the latest and greatest" will, findet es im Win-Raid Forum:
https://www.win-raid.com/t1658f39-G...-CS-TXE-Regions-with-Data-Initialization.html
DonSerious schrieb:
Das Problem was ich damit eher habe ist, dass bios updates oft das OC Verhalten verändern.
Kenne ich, aber das Verhalten ändert sich nach dem Update nicht immer nur zum Schlechteren.
DonSerious schrieb:
Woher hast du die versionsinfo? Im Endeffekt gibt's ja immer mal wieder News zu Lücken. Ist die CSME Version relativ aktuell?
https://www.win-raid.com/t840f39-ME-Analyzer-Intel-Engine-Firmware-Analysis-Tool-Discussion.html
Damit kann man BIOS-Update-Files analysieren. Die CSME-Version ist relativ aktuell … unter dem Sicherheitsaspekt aktuell genug.
DonSerious schrieb:
Normalerweise waren die Intel ME speziell nummeriert da für jedes Board eigene. Da bin ich nie so dahintergestiegen.
Die Versionen sind zwar identisch für alle Mainboard-Hersteller, müssen aber passend für jedes Board einzeln konfiguriert werden.
Deshalb ist es ganz wichtig, dass Du nach der Anleitung im Win-Raid Forum vorgehst (wenn Du vorhast, die CSME einzeln upzudaten) … ansonsten könntest Du das Board bricken.
DonSerious schrieb:
Also ich lese heraus dass Bios F15b auf neuestes ME und MC updatet.
Nicht die allerneueste CSME … aber auf jeden Fall eine sichere.
DonSerious schrieb:
Microcode kann man glaube ich eh nicht anders einspielen
Die MC-Updates würden im anderen Fall auch Windows (oder die meisten Linux-Distributionen) jedes Mal beim Booten einspielen, (CS)ME-Updates aber nicht.
 
Zuletzt bearbeitet:
lanse schrieb:
Betrifft aber auch nur alle CSMEs (für LGA-1151v2-Chipsätze) älter als 11.8.65.
Betrifft das die Neueste immer noch? Oder meinst du die Lücke betraf erst eine spätere Version zwischen der auf F15b und 11.8.65? Also Bios über Q-Flash mit USB Stick ist ja keine grosse Sache aber wenn die alte Version nur wegen Spectre/Meltdown veraltet ist würde ich darauf bleiben da die ja mit windows Updates gelöst wurden. Danke dir für alles, wieder was gelernt. Klar muss ja eh hoch für ein 9900K Upgrade aber das steht noch aus. Habe nur etwas Angst dass am Ende alle Parameter wieder anders sind usw.
 
DonSerious schrieb:
Betrifft das die Neueste immer noch? Oder meinst du die Lücke betraf erst eine spätere Version zwischen der auf F15b und 11.8.65?
Habe mir das Intel-Advisory (INTEL-SA-00213) mit den Sicherheitslücken nochmal angeschaut:
Affected Products: Intel® CSME before versions 11.8.65, 11.11.65, 11.22.65, 12.0.35

Die Lücken, die Dein Board betreffen, lassen sich aber nur "via local access / via physical access / via adjacent network access" ausnutzen … also IMHO alles nicht so dramatisch.
Mit 11.8.65 oder höher wärst Du safe. TPM-Fail ist ebenfalls ab 11.8.65 gefixt.

Wenn Du allerdings eh ein CPU-Upgrade planst, würde ich an Deiner Stelle ebenfalls mit dem BIOS-Update warten: Never change …
 
lanse schrieb:
Wenn Du allerdings eh ein CPU-Upgrade planst, würde ich an Deiner Stelle ebenfalls mit dem BIOS-Update warten: Never change …
Moin
Habe mir einen stick gekauft und es heute installiert auf F15b. Konnte den aber nicht auf FAT32 formatieren also nahm ich exfat. Nun wurde mir nach der Auswahl des Files nicht die Update Variante angeboten. Es gibt ja einmal die einfache ohne ME Update und mit. Nun habe ich nach mehreren shutdowns erstmal Angst bekommen es wäre was schiefgegangen aber dem war wohl nicht so. F15b war drauf und die Settings wie zuvor. Nun bin ich erneut ins Q-Flash gegangen und habe das update nochmal aufgespielt da dieses mal der Modus abgefragt wurde. Sprich ob ich mit ME updaten will. Das Update ging natürlich wesentlich schneller aber wieder 3-4 shutdowns. Ist das in Ordnung das gleiche Bios 2 mal aufzuspielen? Aber ich wollte das nicht so stehen lassen. Mir ging es ja auch um das ME update.

Danke
 
DonSerious schrieb:
Konnte den aber nicht auf FAT32 formatieren also nahm ich exfat. Nun wurde mir nach der Auswahl des Files nicht die Update Variante angeboten.
Bei Gigabyte funktioniert das Update inzwischen auch von Sticks mit exFAT-Formatierung? Das war mir bisher entgangen. Umso besser, dass das jetzt geht …
Der Stick hat sicher mehr als 32 GB, dann bietet Windows keine FAT32-Formatierung an. Man kann sie aber trotzdem haben, z. B. so:
https://www.heise.de/download/product/h2format-40825
(Ist aber offensichtlich nicht mehr notwendig.)
DonSerious schrieb:
Es gibt ja einmal die einfache ohne ME Update und mit.
Ich finde nur das Update-File "mit":
https://www.gigabyte.com/Motherboard/Z370P-D3-rev-10/support#support-dl-bios
DonSerious schrieb:
Nun habe ich nach mehreren shutdowns erstmal Angst bekommen es wäre was schiefgegangen aber dem war wohl nicht so.
Das gehört so! Nennt sich "Power-Cycle" (nach dem Update automatisch aus-an-aus-an-aus-an). Nur so kann die CSME installiert werden, die sich ja separat im Chipsatz befindet. Auf keinen Fall eingreifen … machen lassen!
DonSerious schrieb:
F15b war drauf und die Settings wie zuvor. Nun bin ich erneut ins Q-Flash gegangen und habe das update nochmal aufgespielt da dieses mal der Modus abgefragt wurde. Sprich ob ich mit ME updaten will. Das Update ging natürlich wesentlich schneller aber wieder 3-4 shutdowns. Ist das in Ordnung das gleiche Bios 2 mal aufzuspielen?
Habe ich - ehrlich gesagt - noch nie probiert. Ich nehme aber stark an (wegen des Power-Cycle), dass bereits beim ersten Mal die CSME upgedatet wurde und dass im neuen UEFI das Q-Flash Utility einfach nur anders aussieht oder andere Optionen hat.
DonSerious schrieb:
Aber ich wollte das nicht so stehen lassen. Mir ging es ja auch um das ME update.
Sieht alles gut aus! Update-Prozedur (mit Power-Cycle) völlig normal. Ich würde mir keinen Kopf machen.
 
Also habe mal im Gerätemanager die Intel ME Version gecheckt. Datum ist der 04.04.2019 und die Version 1914.12.0.1256

Das Update ist aber ja vom März 2021. Ist es normal dass die so eine alte version da drauflassen? Es ist definitiv nicht die vom Board damals da F5 aus Juli 2018 stammt. Entweder war die schon auf der Version durch ein Update meinerseits oder die ist bewusst so alt gewählt. Wobei ich die niemals bewusst geupdatet habe.

Danke dir jedenfalls für die Geduld.
 
Zuletzt bearbeitet:
Im Geräte-Manager siehst Du nur das "Intel(R) Management Engine Interface" (einen Treiber), nicht die CSME selbst.
In Post #4 wurde das Detection Tool verlinkt. Das sagt Dir, welche CSME sich aktuell im Chipsatz befindet … sollte beim BIOS-Update F15b die Version 11.8.81.3807 sein. Die CSME-Versionen für den Z390-Chipsatz beginnen mit "12".
Die Versionsnummern von CSME und Windows-Interface können voneinander abweichen, das Interface ist häufig kompatibel mit verschiedenen (CS)MEs.
 
Zurück
Oben