News Threadripper Pro: Lenovo bindet CPUs per AMD PSB an eigene Systeme

[iGameKudan]

Okay, das ist ein echter Bitchmove von den Herstellern und überhaupt ein Unding von AMD, solch eine Funktion zu ermöglichen...

Wie wird das überhaupt realisiert? Brennt ne Sicherung entsprechend des Schlüssels durch?

 

[[wege]mini]

Keine schöne Entwicklung.

Wie funktioniert das technisch in der CPU?

Eine Art von ROM? Oder eine Steintafel mit kleinem grünen Männchen?

So schwer kann es ja nun nicht wirklich sein, den Baustein zu löschen.

mfg

 

[Herdware]

wieviel Leute rüsten denn solche workstation CPUs auf? 5%? Völlig egal. Wenn dann wird sowieso das ganze System vertickt.

Ich selbst habe mich noch nicht damit beschäftigt, aber ich habe über die Jahre immer wieder Artikel und Videos gesehen, in denen extrem günstige Systeme zusammengebaut wurden, mit gebrauchten Xeons als CPU, die es massenweise sehr billig bei ebay und Co. gibt.
Die Workstation- und Server-CPUs werden also wohl doch öfter mal nicht einfach verschrottet, sondern an irgendeinem Punkt der Recycling-Kette gesondert verkauft. Oder neue "Tray-Ware" wandert über irgendwelche Kanäle direkt in den Einzelhandel.

Außerdem frage ich mich auch, wo der große Sicherheitsgewinn durch dieses Feature sein soll. Manipulierte CPUs, davon habe ich bisher herzlich wenig gehört.
Aber von manipulierten Mainboards durchaus. Besonders weil es da ja kein zusätzlicher Chip sein muss, der aufs Board geschmuggelt wird. Es reicht am BIOS/UEFI zu schrauben oder den diversen Management-Einheiten. Entsprechende Schwachstellen z.B. in Intels ME haben in den letzten Jahren ja immer wieder für Schlagzeilen gesorgt.

Wenn es um Sicherheit ginge, müsste also vor allem das restliche System vor Manipulation geschichert werden. Die CPU selbst scheint mir dabei die kleinste Sicherheitslücke zu sein. Jedenfalls in dem Sinne, dass einem was manipuliertes untergeschoben werden könnte.

Ich vermute deshalb auch, dass es hier vor allem darum geht, Weiterverkauf der CPUs zu unterbinden. Vielleicht nicht nur später als gebrauchte Ware, sondern dass verhindert werden soll, dass eigentlich für OEM-Kunden gedachte CPUs doch direkt in den Einzelhandel wandern usw.
Wahrscheinlich bekommen Dell, HP und Co. diese CPUs etwas billiger, wenn sie entsprechend verdonglet sind.

 

[PfeifenEule]

Wie wird das überhaupt realisiert? Brennt ne Sicherung entsprechend des Schlüssels durch?

Die CPUs haben einen ARM basierten PSP (platform security processor) der bekommt einmalig eine Sig vom Hersteller. Das Teil ist das AMD Equivalent der IME. Da läuft im endeffekt ein ganzes mini OS drauf, welches sich um alle möglichen Features kümmert.

Die Vorteile des PSB gegenüber einer root of trust (mit efuse) auf dem Mainboard erschließen sich mir persönlich aber nicht. Vielleicht übersehe ich aber etwas.

 

[[wege]mini]

der bekommt einmalig eine Sig vom Hersteller.

Läuft also auf jeder Hardware, welche die Lenovo Sig sendet.

Super, ganz toll sicher.

aber ich habe über die Jahre immer wieder Artikel und Videos gesehen, in denen extrem günstige Systeme zusammengebaut wurden

Ich habe mich in einer "speziellen" Firma immer darüber aufgeregt, dass voll funktionsfähige Festplatten nach der Leasingzeit physisch zerstört wurden, da sie nun einmal mit vielen sensitiven Daten beschrieben waren und man auf "Nummer sicher" gehen wollte.

Der Kampf gegen Windmühlen ist in diesem Falle einfacher.

Jetzt nutzt man dieses Pseudoargument halt sogar für CPUs. Wenn auch aktuell erst mit "Stufe 1"

mfg

 

[textract]

Wer sich von Lenovo so eine Workstation kauft, was wohl nahezu ausschließlichr Unternehmen sein werden, der bastelt an so einem Teil auch nicht rum, warum sollte er auch?

Bei Problemen wird der 24/7 Support des Herstellers kontaktiert, oder glaubt ihr ernsthaft jemand tauscht da DIMMs, oder PCIe-Karten manuell aus?

Solche funktionen schützen den Rechner vor Kompromittierungen durch 3., der Rechner behält immer seine "sichere" Integrität für den User.

Die Zielgruppe dieser Workstation wird sich auch nicht denken: "Ja, die CPU ist jetzt 2 Jahre alt, Zeit sie zu verscherbeln. Die 1000 € für die CPU lassen sich neben den restlichen 100 Millionen Jahresumsatz bestimmt sehen.". Wenn die Dinger alt werden, werden sie entweder an den Leasing-, oder sonstigem IT-Partner zurückgegeben, der die Teile dann wieder hübsch macht und genau so in den Refurbished Markt setzt.

Aus genau diesem kann man sich ja auch privat nach wie vor eine Workstation ohne PSB bauen.

 

[updater14]

Hat das Mainboard diese OTP Fuses "geschossen", ist der Prozessor an die Herstellersignatur im jeweiligen BIOS gebunden und startet nicht mehr, wenn diese Signatur beziehungsweise die Firmware manipuliert wurde.

Klasse, geht also das Mainboard futsch muss man direkt Board und CPU tauschen.
So läuft das mit dem Ankurbeln der Marktwirtschaft.
Also mal einen Bogen um solche Systeme machen, die Hersteller sollten zumindest so fair sein und die Technik im Datenblatt angeben.

 

[[wege]mini]

geht also das Mainboard futsch muss man direkt Board

bis hier stimmt es. Eine neue CPU brauchst du nicht.

Aber du musst wieder ein MB von Lenovo kaufen.

Die CPUs gehen als letztes kaputt und Lenovo möchte sie in 3-5 Jahren einfach nicht im Gebrauchtmarkt sehen.

Dass dieses für alle anderen Beteiligten sehr wünschenswert wäre (incl. Greta), ist Lenovo + AMD jedoch egal.

mfg

 

[flo36]

Es hört sich nach ner Abfrage der Herstellersignatur im UEFI an. Man sollte Lenovo Branded CPUs also in anderen Lenovo Workstations mit der selben Signatur machen können. Für den Gebrauchtmarkt bei seriösen Händlern also kein Problem, da diese dann einfach die CPUs nur in Lenovo Geräten verbauen.
99% der Privaten wird das nie betreffen.

 

[[wege]mini]

99% der Privaten wird das nie betreffen.

Die PRO Modelle sind halt tatsächlich nicht für Private gedacht.

Sie nach einigen Jahren jedoch in den Privatsektor überstellen zu können (wie KfZ aus Leasingflotten), ist doch aber nicht verkehrt.

Die normalen Fredripper haben dieses Feature doch auch nicht und in 3 Jahren ein 64 Kern PRO für kleines Geld auf einem Gamer Board, ist doch eine Idee wert.

Warum es aus erfundenen Gründen heraus nicht ermöglichen?

mfg

 

[fdsonne]

Nachtrag: @Jan: Die CPU darf nicht in andere Systeme. Es steht nirgends, dass eine andere CPU nicht in das EIGENE System darf?

Das steht nicht direkt dort, aber das impliziert die Option doch eh selbst?
Denn nur "unlocked" Werksfrische CPUs ohne eine entsprechende Signatur lassen sich dann in das Dell, HP, Lenovo System bringen. Und werden dann dort je nach Setting und Modell auf den OEM gebrandet. Einen Dell Prozessor in die Lenovo Kiste zu drücken dürfte nicht funktionieren genau so wie es umgekehrt nicht funktioniert. Insofern ist es ja doch so, dass schon gebrandete andere CPUs nicht ins Eigene System dürfen

Ob das mit nem Weiterverkauf zu tun hat, würde ich fast bezweifeln. Es ist aber natürlich klar Käse wenn der Hersteller auf seinem eigenen System jegliche CPUs booten lässt anstatt das zu verhindern. Zumindest wenn er die eigenen CPUs selbst für Andere ausschließt.

Meiner Ansicht nach am Ende aber total überbewertet die Nummer. Sogut wie keiner Wechselt CPUs im Nachgang bei solchen Systemen. Für die privat Kunden, die sowas billig über gebrauchte Server Komponenten fabrizieren ist es klar aber schade. Für den regulären Einsatz dürfte das wenig bis gar nicht stören.

 

[Popey900]

Sie nach einigen Jahren jedoch in den Privatsektor überstellen zu können (wie KfZ aus Leasingflotten), ist doch aber nicht verkehrt.

Ich vermute dass man das nicht möchte. Auch aus AMD Sicht. Je verbreiteter die CPU'S sind desto einfacher/mehr Freaks können versuchen die Sicherheitsmechanismen zu umgehen.

Vielleicht vertue ich mich, aber das wäre eine Erklärung.

 

[flaphoschi]

Gnade jedem Betroffenen der einen Defekt mit der CPU- oder Mainboard hat. Dann wird es noch teurer oder Ersatz ist gar nicht mehr nicht lieferbar. Das ist weder nachhaltig noch reparierbar! Gehen sie bitte in die "Schämt euch" Ecke zu den verdongelten Batterien mit Firmwarecheck.

Sollte jemand physikalischen Zugriff erlangen, hat man kein vertrauenswürdiges System. Wer in der Lage ist eine CPU gegen eine manipulierte CPU austauschen zu können, kann auch direkt die Tastatureingaben abfangen oder eine Überwachungskamera benützen. Die Argumente für Secure Boot und ergänzenden Techniken waren schon immer schwach.

 

[JoeDoe2018]

Alle schreien immer nach Datensichheit. Da gehört dies dann dazu.

 

[AGB-Leser]

Wie funktioniert das mit dem Schlüssel eigentlich?
Gibs in bestimmten Szenen sicher wieder n BIOS-MOD für

 

[[wege]mini]

Vielleicht vertue ich mich, aber das wäre eine Erklärung.

Natürlich ist das die Erklärung.

Alles was du sagst, stimmt ja auch.

Echte Profis lügen halt mit Wahrheiten.

Die eingesetzten Mittel sind vernünftig, tauglich und funktionell. Sie sind nicht kreativ und nicht dauerhaft sicher, aber für den Zweck immer noch vertretbar.

Den Effekt, die CPUs für weitere Verwendung für jedermann nicht mehr zu ermöglichen, könnte man ja auch als naiver Mensch übersehen haben

Letzten Endes reden wir hier aber über wenige hundert, möglicher Weise eine kleine vierstellige Gruppe von Menschen, die dieses "Problem" in 3-5 Jahren evtl. betreffen könnte.

mfg

 

[PS828]

Da es nur die Lenovo CPUs betrifft und nicht die retailvarianten ist es für den Selbstbauer halb so schlimm.

Aber insgesamt doch unschön für die Lenovo Systeme da man so nicht einfach Ersatz von außerhalb bekommen kann

 

[Teralios]

ber insgesamt doch unschön für die Lenovo Systeme da man so nicht einfach Ersatz von außerhalb bekommen kann

Wenn ich das aktuell richtig verstehe: Man kann doch jede CPU auf das Mainboard schnallen, nur danach halt die CPU nicht mehr auf ein anders Mainboard.

Sprich: CPU im Arsch => CPU kann man Tauschem. Mainboard im Arsch => Beides muss getauscht werden.

Wobei mir der Nutzen, selbst nach der Beschreibung, nicht wirklich klar ist. Gut, die CPU arbeitet nur noch, wenn das UEFI, besser dort die Signatur der entspricht, mit der das Branding vorgenommen wurde. Soweit so gut.

Aber ist das nicht eher ein Placebo? Wenn ich daran denke, wie sorglos selbst Techriesen damals mit ihren SSL-Schlüsseln umgegangen sind.

Na wir werde sehen, was da kommt.

 

[Herdware]

Da es nur die Lenovo CPUs betrifft und nicht die retailvarianten ist es für den Selbstbauer halb so schlimm.

Ich denke es kommt darauf an, wie sehr solche Verdongleungen üblich werden. Solange es nur auf bestimmte High-End-Workstations und -Server beschränkt bleibt, ist das für die allermeisten Consumer egal.

Es gibt bisher aber schon immer einen ziemlich großen Markt für günstigere "Tray-CPUs", der fast komplett abgewürgt werden könnte, wenn irgendwann alle ursprünglich an mehr oder weniger große OEMs verkauften CPUs dauerhaft nur auf deren Systeme beschränkt würden. Damit würde effektiv verhindert, dass ursprünglich unter günstigeren OEM-Konditionen verkaufte CPUs gebraucht oder neu ihren Weg in den Direkthandel finden können.

Die Begründung als Sicherheitsfeature kommt mir demgegenüber wie gesagt etwas zweifelhaft vor. Da müsste mir erstmal jemand zeigen, dass manipulierte und dann im Nachhinein heimlich ausgetauschte CPUs wirklich ein nennenswerter Angriffsvektor auf Profi-Systeme sind.

Ergänzung:
Ok. Zumindest den letzen Teil kann ich wohl zurücknehmen. Der von NguyenV3 zitierte Heise-Artkel erklärt, dass es nicht um manipulierte CPUs an sich geht geht, sondern dass die so verdongelte CPU verhindert, dass ein nachträglich manipuliertes BIOS/UEFI auf dem System laufen kann.
Das ergibt tatsächlich Sinn als Sicherheitsfeature.
(Bleibt die Frage, ob man das nicht anders hätte lösen können, ohne die CPU auf allen anderen Systemen unbrauchbar zu machen.)

 

[Jesterfox]

Gibs in bestimmten Szenen sicher wieder n BIOS-MOD für

Das ist ja eigentlich genau das was es verhindern soll: dass die CPU mit einem modifizierten BIOS startet. Du müsstest das modifizierte BIOS genau so bauen das es die selbe Signatur hat, also die Signatur knacken.

Eine Art von ROM?

Um genau zu sein ein PROM. Im Gegensatz zu (E)EPROM lassen die sich nicht mehr löschen sondern nur einmalig programmieren.