News Threadripper Pro: Lenovo bindet CPUs per AMD PSB an eigene Systeme

[PietVanOwl]

Ich wusste gar nicht dass das bei CPUs geht. Dürfte die Mehrheit aber nicht stören. Wieviele Nutzer kaufen sich schon eine komplette Workstation, zerlegen die und verhökern die Einzelteile, wohl maximal 1%.

Aber du musst wieder ein MB von Lenovo kaufen.

Wenn das Board über den Jordan geht wäre das dann doch ein Garantie Fall. Da kauft man nichts nach, der Hersteller wechselt doch dann die Hardware, würde ich meinen.
MFG Piet

 

[Termy]

Vielleicht muss man das große ganze betrachten bzw. die gesamte Sicherheitskette. Dass die CPU dabei nicht mehr woanders verwendet werden kann, ist halt "unglücklich". Hier in dem Artikel heißt es:

Spoiler

Wie AMD gegenüber STH erklärt, lässt sich die RoT im PSP per PSB auch dazu verwenden, um das digital signierte BIOS des Mainboards zu schützen. Dazu dienen unwiderruflich nur einmal beschreibbare Bits im Prozessor, sogenannte One-Time Programmable Fuses (OTP Fuses).

Hat das Mainboard diese OTP Fuses "geschossen", ist der Prozessor an die Herstellersignatur im jeweiligen BIOS gebunden und startet nicht mehr, wenn diese Signatur beziehungsweise die Firmware manipuliert wurde. Das erschwert Angreifern Änderungen an der Server-Firmware, etwa um SVE oder UEFI Secure Boot auszuhebeln.

erst wollte ich mich auch den "von wegen Sicherheit, hier gehts nur um Gewinn" - Kritikern anschließen, aber das macht tatsächlich sogar Sinn, sowohl von der gesteigerten Sicherheit, als auch von der Notwendigkeit der nicht-tauschbarkeit her 👍
Ein herber Schlag für die Weiterverwendung ist es natürlich trotzdem und sollte von den Herstellern offen kommuniziert und den Kunden die Wahl gelassen werden...

Die Erklärung sollte man vielleicht im Artikel noch ergänzen @Jan

 

[Shrimpy]

Dann kann ich mir in 10 jahren ja 4 davon für 20-40€ als untersetzer kaufen.

Naja, der LGA1366 war eh der letzte sockel wo man xeons wie irre treten konnte.
Mit LGA2011 ging das nicht mehr so gut, hab mal für beide jeweils paar xeons gekauft weil für beides noch boards hab.
Und Ein TR motherboard will ich nicht mehr bezahlen in 10 jahren.
Mainboards von EOL sockeln kennen nur eine richtung auf ebay.
Letztenendes...egal, wenn die das mal default bei irgend einem Mainstream-sockel bringen hoffe ich das Intel oder AMD dabei richtig aufs maul fliegen.

 

[Thomaswww]

Ein wichtiger, zukunftsweisender Schritt in eine sichere Zukunft.
Hoffentlich bald auch für Desktop und Notebooks. Aber bitte nicht nur die CPU mit dem Mainboard verheiraten sondern sämtliche Hardware. Das würde eine echt sichere Sache werden und viele Vorteile bedeuten.

Bitte als danach die nächste Sicherheitslücke angehen: lokale Daten. Alles in die Cloud, Geräte zu Hause können nur noch Cloud Inhalte anzeigen. Alles natürlich nur im Abo Modell zu benutzen.

So kann die Sicherheit noch weiter gesteigert werden. Das wollen wir doch alle, oder? Fühlt ihr euch schon sicherer?

 

[Sephiroth51]

Geht es jetzt hierbei konkret um das verheiraten von Chips?

 

[(-_-)]

(Für sehr wenige Leute ) Interessant wäre, ob das generell auf die Plattform zutrifft.
Sprich, ob diese verheirateten CPUs nur mit Lenovo- aber nicht Dell-Boards laufen, dafür aber Asus/Gigabyte-WRX80-Boards vom Retailer, oder überhaupt nicht.

 

[eastcoast_pete]

Jetzt schreibt "servethehome" in ihrem Artikel daß, laut AMD Stellungnahme: ".. AMD processors are shipped unlocked from the factory, and can initially be used with any OEM's motherboard". But once they are used with a motherboard with PSB enabled, the security fuse will be set" Langes Zitates Sinn scheint ja zu sein daß ein PSB-fähiger TR von einem Drittanbieter verwendet werden kann, ist aber nach dem ersten Boot mit dem MoBo "verheiratet". Stimmt das jetzt so nicht für die Lenovo Kisten? Und wenn, gibt's dann für den TR kein Zurück mehr, auch nicht durch AMD? Das wäre natürlich schon ziemlich unverschämt, v.a. wenn man diese "Sicherheitsfunktion" nicht ausschalten kann, bevor man den TR einsetzt. Optional (User selected) wäre es okay, aber nicht als hostile takeover.

 

[Jesterfox]

Stimmt das jetzt so nicht für die Lenovo Kisten?

Wenn Lenovo die Kiste zusammen mit der CPU mindestens ein mal zum Testen hochgefahren hat ist die CPU an die Firmware gebunden. Und nein, da gibt es wohl kein Zurück mehr.

 

[cr4zym4th]

Zu Sicherheit: Es kann niemand eine Workstation aufschrauben, die CPU ausbauen und zuhause auf seinem WRX80 Asus/ASrock/ was auch immer Board betreiben. #klauen

😂

Verstehe ich auch nicht was das mit Sicherheit zu tun hat.

Du kannst mit Sicherheit mehr Geld ausgeben, du kannst sicher sein, dass du das System nicht aufrüsten kannst. Lenovo hat sich mit Sicherheit etwas dabei gedacht.

Das sind mit deiner Argumentation schon 4 Gründe:-)

Zum Glück hat noch niemand die Kinder als Argument benutzt.

Aber am Ende dürfte es wenige geben, die sich die Workstation bei Lenovo kaufen UND dann auch noch die CPU tauschen wollen.

Was tatsächlich schade ist: Zu "Xeon-Zeiten" vor ein paar Jahren war es interessant, die Xeon-CPUs "günstig" aus Workstations zu nehmen anstatt sich die teuren Core i7 zu kaufen.

 

[Majestro1337]

PBO, PSB, PCI(e), CBS, ...
Die haben doch alle PMS!

Ansonsten klingt das "feature" sehr apfelig

 

[Hayda Ministral]

Es hört sich nach ner Abfrage der Herstellersignatur im UEFI an.

Die würde dazu führen das nur bestimmte CPUs im Mainboard mit zugehörigem Bios laufen.
Laut Bericht soll jedoch die CPU so manipuliert sein dass sie nur in bestimmten Mainboards läuft.

Frage an die Universumsverwaltung: Wäre das bei einem Privat gekauften Gerät nicht ein sogenannter "verdeckter Mangel" für den Verkäufer haftbar ist und der zur Rückabwicklung des Kaufs berechtigt?

 

[.Ake]

Was tatsächlich schade ist: Zu "Xeon-Zeiten" vor ein paar Jahren war es interessant, die Xeon-CPUs "günstig" aus Workstations zu nehmen anstatt sich die teuren Core i7 zu kaufen.

In etwa so wie hierzulande kaum jemand auf die Idee kommt runderneuerte Reifen zu kaufen weil diese "unsicher" sind. Stattdessen kauft man lieber neue Reifen wo der Markt seit Jahrzehnten überflutet ist von recyclebaren Reifen. Der Großteil recyclebarer Reifen stattdessen auf irgend einer Deponie vergammeln, diese irgendwo versenkt oder verbrannt werden, massenhaft Regenwälder abgeholzt, Eingeborene vertrieben, enteignet und auch umgebracht werden damit man den landläufige Abnehmern billige Kautschukplantagen bieten kann und ganze Landstriche mit Pestiziden verseucht. Wer würde denn auf die Idee kommen... runderneuerte Reifen? Wer denkt sich solch einen Blödsinn aus? Cradle to Cradle? Hardware durch Zugänglichkeit/Opensource sicherer machen? Das würde doch Arbeitsplätze kosten! Und wo soll dann die Konkurrenz her kommen? Und das nächste Produkt etwa? Messer- und Scherenschleifer? Wer hat sich solch einen idiotischen Beruf ausgedacht?! Waren müssen entsorgt werden damit niemand mehr damit arbeiten kann!

 

[JBG]

Was die technische Umsetzung angeht, gibt es tatsächlich etwas wie einen nichtflüchtigen Speicher in aktuellen AMD-CPUs, wobei diese Funktion nur bei den Pro-Modellen aktiviert zu sein scheint:

Hatte mit einem R9 PRO 3900 das Problem, dass eine AMD CBS-Option (DMAr Support) das Booten verhinderte und selbst ein CMOS Reset hat nichts geholfen.

Erst das Wechseln der CPU (zu einem normalen 3700X) führte wieder zu einem normal funktionierenden System und das BIOS hat auch beim ersten Einschalten gemeldet, dass eine neue CPU verbaut wurde und nicht etwa nur die BIOS-Einstellungen zurückgesetzt wurden.

https://www.computerbase.de/forum/t...dauerhaft-dmar-support.1971804/#post-24692926

 

[kaji-kun]

Ich sehe das große Problem das dann irgendwann die CPUs in eBay, Kleinanzeigen oder auch bei kommerziellen (Restposten/refurbished) Händlern auftauchen und dann für keinen mehr wirklich ersichtlich ist ob ne CPU gebrandet ist oder nicht. Was dann für Ärger, Stress und weitere Probleme sorgt.
Und da unterstelle ich nichtmal (böswillige) Absicht. Reicht wenn in der Kette einfach mal nicht sauber dokumentiert wurde oder ein „Glied“ vielleicht auch schlicht wenig Ahnung hat.

 

[proserpinus]

Danke für den Artikel und die Aufklärung!

Wirkt fast wie ein verspäteter (und ziemlich schlechter) Aprilscherz.
Und im ersten Moment könnte man glauben, dass hier im Artikel ein Fehler unterlaufen ist und die beiden Firmen AMD und Intel verwechselt wurden.

Dass die OEM-Hersteller eine solche Option wie Maden auskosten, ist doch klar.

Wird halt dazu führen, dass diese Plattform nicht wirklich ankommen bzw. angenommen wird. Weil brachiale Leistung ist das eine, aber Stabilität und Kompatibilität (hier im wahrsten Sinne) das andere.
Ich überlege mir ja ernsthaft einen TR Pro zuzulegen. Aber solange das MB dazu um die 1000 € kostet, wird das nix ...

 

[wertertzu]

Zerstört den Gebrauchtmarkt, dafür ist es da sonst hat es keinen nutzen.

Bin gespannt wann das "Feature" in den Desktop Markt kommt...

 

[SaschaHa]

Inwiefern solch ein Verfahren die Sicherheit erhöht, ist mir schleierhaft. Meiner Ansicht nach versucht man unter dem Deckmantel der Sicherheit, Käufer an die eigenen Systeme zu binden und sich somit einen Vorteil zu verschaffen. Meiner Meinung nach gehört so etwas verboten.

 

[jemandanders]

Wie AMD gegenüber STH erklärt, lässt sich die RoT im PSP per PSB auch dazu verwenden, um das digital signierte BIOS des Mainboards zu schützen. Dazu dienen unwiderruflich nur einmal beschreibbare Bits im Prozessor, sogenannte One-Time Programmable Fuses (OTP Fuses).

Hat das Mainboard diese OTP Fuses "geschossen", ist der Prozessor an die Herstellersignatur im jeweiligen BIOS gebunden und startet nicht mehr, wenn diese Signatur beziehungsweise die Firmware manipuliert wurde. Das erschwert Angreifern Änderungen an der Server-Firmware, etwa um SVE oder UEFI Secure Boot auszuhebeln.

OK, das hört sich zumindest mal plausibel an. Eine CPU ist ja auch nicht "mal Eben" ausgetauscht.
Und zumindest bei Maschinen wie der TR-Pro Baureihe halte ich es für wenig wahrscheinlich, das der Kunde (einer kompletten Workstation für 10-60k€) die CPU austauscht.
Wenn mir jmd ein manipuliertes Bios unterjubeln kann, hab ich aber eigentlich schon ganz andere Probleme.
Ich finde das die Hersteller aber den Kunden die Wahl lassen sollten.

Mal Doof gefragt: Warum nutzen die für die Bios Verdongelung nicht den allgegenwärtigen TPM Chip?
Spricht irgendetwas dagegen?

 

[T-REX]

Wie die Leute das Thema alle nicht verstehen. Es ist sehr wohl sinnvoll, dass die CPU nicht mit einem kompromittiertem Bios benutzt wird. Es ist auch bei weitem nicht trivial so etwas auf andere Art und Weise zu verhindern.

Dass Lenovo das ohne Anmerkung so durchdrückt und vor allem die Bios Signatur nicht konsistent hält, ist hier die tatsächliche Sauerei. Opt in wär zwar toll aus Usersicht, nur dann verwendets vermutlich niemand, da sich niemand damit beschäftigen wird. Wie man sieht, wusste bisher gar niemand so recht von dem Feature, also hätte es auch niemand nachträglich aktiviert. Dadurch wären alle per Default ungeschützt.

 

[mifritscher]

Wer sich von Lenovo so eine Workstation kauft, was wohl nahezu ausschließlichr Unternehmen sein werden, der bastelt an so einem Teil auch nicht rum, warum sollte er auch?

Bei Problemen wird der 24/7 Support des Herstellers kontaktiert, oder glaubt ihr ernsthaft jemand tauscht da DIMMs, oder PCIe-Karten manuell aus?

Genau das hatte der "professionelle" Dell Support innerhalb der Supportzeit mal bei einem Server für über 10k€ verlangt: Dass wir einen Kreuztausch der CPUs machen (hatten mehrere Server derselben Sorte)