Intel und AMD werden ja bekanntlich zunehmend für Intel Management Engine bzw. Platform Security Processor kritisiert. Siehe zum Beispiel:
https://libreboot.org/faq/#amd#
https://www.heise.de/newsticker/meldung ... 36705.html
Ich finde es etwas unbefriedigend (auch) aus Sicherheitsgründen Debian zu verwenden und den Strolchen eine Etage tiefer doch wieder das Feld zu überlassen. Während IME in allen Intelsysteme vorhanden ist, gilt dies für PSP und AMD anscheinend nicht. Trotz längerer Rechereche konnte ich aber keine zuverlässige Quelle finden, die darlegt, in welchen AMD-Systemen PSP nicht vorhanden ist. Weiß jemand bescheid?
Wie IME / PSP vermeiden?
Re: Wie IME / PSP vermeiden?
Mit der Intel Management Engine und dem AMD-Gegenstück kenne ich mich nicht aus, aber auf jeden Fall gibt es auf beiden Systemen den System Management Mode, bei dem auch Dinge vorgehen, die sich der eigenen Kontrolle entziehen.
Genauso wie man wohl kaum prüfen kann, dass die mitunter notwendigen und von BIOS oder
amd64-microcode bzw. intel-microcode durchgeführten Mikrocodeupdates tatsächlich nur Fehler ausbügeln. (Und wenn wir schon dabei sind, dann haben wir selbst wenn wir coreboot verwenden noch immer keine Idee, was in der Firmware von Festplatten, SSDs, Grafikkarten,… vorgeht und wenn ich mich recht erinnere ist es schon nachgewiesen, dass auch Malware existiert, die sich in der Firmware von Festplatten versteckt.)
Da würde ich mir jedenfalls nicht wegen der IME den Kopf zerbrechen, die man afaik normalerweise wenigstens deaktivieren kann.
edit, aber um die eigentliche Frage zu beantworten:
Laut [1] ist der AMD Secure Prozessor akutell nur in CPUs der A und E Serie verfügbar und nach [2] gibt es dieses Feature seit "Beema" und "Mullins", dh Kabini und Temash sollten das noch nicht haben.
[1] http://www.amd.com/de-de/innovations/so ... s/security
[2] http://www.hardwareluxx.de/index.php/ne ... -welt.html
Genauso wie man wohl kaum prüfen kann, dass die mitunter notwendigen und von BIOS oder
amd64-microcode bzw. intel-microcode durchgeführten Mikrocodeupdates tatsächlich nur Fehler ausbügeln. (Und wenn wir schon dabei sind, dann haben wir selbst wenn wir coreboot verwenden noch immer keine Idee, was in der Firmware von Festplatten, SSDs, Grafikkarten,… vorgeht und wenn ich mich recht erinnere ist es schon nachgewiesen, dass auch Malware existiert, die sich in der Firmware von Festplatten versteckt.)Da würde ich mir jedenfalls nicht wegen der IME den Kopf zerbrechen, die man afaik normalerweise wenigstens deaktivieren kann.
edit, aber um die eigentliche Frage zu beantworten:
Laut [1] ist der AMD Secure Prozessor akutell nur in CPUs der A und E Serie verfügbar und nach [2] gibt es dieses Feature seit "Beema" und "Mullins", dh Kabini und Temash sollten das noch nicht haben.
[1] http://www.amd.com/de-de/innovations/so ... s/security
[2] http://www.hardwareluxx.de/index.php/ne ... -welt.html
Re: Wie IME / PSP vermeiden?
falls es jemand interessiert - scheint so als ließe sich die Management Engine auch aus dem BIOS verbannen:
https://www.heise.de/newsticker/meldung ... 96075.html
https://www.heise.de/newsticker/meldung ... 96075.html
-
pferdefreund
- Beiträge: 3792
- Registriert: 26.02.2009 14:35:56
Re: Wie IME / PSP vermeiden?
Problem ist aber immer - was steht im Datenblatt und was kann die Hardware wirklich. Deaktiviert im Bios sieht auf dem Bildschirm prima aus - ist es das aber wirklich ? Absolute Sicherheit erhält man nur durch Entfernen jeglicher Netzwerkhardware und Ausschalten des Gerätes wobei man hier auch noch den Strom trennen sollte - bez. den Akku entfernen - es gibt ja auch "Schein-Aus".
-
breakthewall
- Beiträge: 507
- Registriert: 30.12.2016 23:48:51
Re: Wie IME / PSP vermeiden?
Ein recht schwieriges Thema das Ganze. Auch wenn es die Frage aufwirft, was man denn davon hätte, ggf. Dubioses oder gar Hintertüren in Prozessoren einzubauen. Denn letztlich sind Hintertüren immer für beide Seiten offen, und seien sie noch so gut versteckt, irgendwann kommt Jemand dahinter und missbraucht das unter Umständen. Ziemlich risikoreich aus meiner Sicht. Gibt es wirklich akute Gründe wahrhaftig zu misstrauen?
Manche würden auch sagen, dass die x86-Plattform längst verloren sei, und ein Umstieg komplett auf ARM eine Lösung wäre. Ist das wirklich so? Zwar ist ein ARM Prozessor von Haus aus dumm, jedoch existiert auch hier eine integrierte Firmware in der alles Mögliche stecken könnte. Und da wäre man wieder beim Thema Vertrauen, abgesehen von der erheblich verminderten Rechenleistung. Will man sich wirklich einem handelsüblichen BIOS bzw. UEFI, inkl. der AMD als auch Intel-Firmware entledigen, bleibt nur die Power8-Plattform von IBM übrig. Hier hätte man eine wirklich freie Hardwarebasis, die gänzlich ohne proprietäre Firmware mittels z.B. reinem Coreboot funktionieren kann. Aber auch nur dann, wenn man über erhebliche finanzielle Mittel verfügt, was dann schon fünfstellige Beträge wären. Leider nicht so einfach hier zu entkommen.
Andererseits könnte man auch zwei PCs benutzen, und der jeweilige Arbeitsrechner mit sensiblen Inhalten hängt niemals am Netz. Dieser könnte dann z.B. nur verschlüsselte Daten an ein NAS übertragen, die dann mit dem anderen PC entsprechend abgeholt werden und dann übers Netz gehen. Nur wirklich komfortabel/praktikabel sieht anders aus für den Alltag.
Manche würden auch sagen, dass die x86-Plattform längst verloren sei, und ein Umstieg komplett auf ARM eine Lösung wäre. Ist das wirklich so? Zwar ist ein ARM Prozessor von Haus aus dumm, jedoch existiert auch hier eine integrierte Firmware in der alles Mögliche stecken könnte. Und da wäre man wieder beim Thema Vertrauen, abgesehen von der erheblich verminderten Rechenleistung. Will man sich wirklich einem handelsüblichen BIOS bzw. UEFI, inkl. der AMD als auch Intel-Firmware entledigen, bleibt nur die Power8-Plattform von IBM übrig. Hier hätte man eine wirklich freie Hardwarebasis, die gänzlich ohne proprietäre Firmware mittels z.B. reinem Coreboot funktionieren kann. Aber auch nur dann, wenn man über erhebliche finanzielle Mittel verfügt, was dann schon fünfstellige Beträge wären. Leider nicht so einfach hier zu entkommen.
Andererseits könnte man auch zwei PCs benutzen, und der jeweilige Arbeitsrechner mit sensiblen Inhalten hängt niemals am Netz. Dieser könnte dann z.B. nur verschlüsselte Daten an ein NAS übertragen, die dann mit dem anderen PC entsprechend abgeholt werden und dann übers Netz gehen. Nur wirklich komfortabel/praktikabel sieht anders aus für den Alltag.