Wer zum Beispiel eine Epyc-CPU von AMD aus einem Dell-Server entnimmt, um sie in ein Motherboard eines anderen Herstellers zu stecken, könnte erleben, dass dieser Rechner dann nicht mehr bootet.

Woran das in der Regel liegt, soll hier kurz erklärt werden:

Die Funktion Platform Secure Boot (PSB) ist verdächtig

Mit der Funktion Platform Secure Boot (PSB) ermöglicht Hersteller AMD, seine Epyc-Prozessoren dauerhaft an bestimmte Mainboards zu binden. Danach booten sie in Servern anderer Hersteller nicht mehr. Man könnte das durchaus einen „Dongle“ nennen.

Die Internetseite Serve the Home (STH) berichtet, dass dieser Nachteil von AMD PSB beim Test von Servern der Firma Dell EMC aufgefallen ist: Ein zum Test aus einem anderen Server entnommener Epyc-Prozessor funktionierte dabei zwar in einem Dell-EMC-Server PowerEdge R7415, aber danach in keinem anderen Server mehr.

Dem Bericht nach bestätigte Dell diese Funktionsweise. Nach Angaben von STH nutzt auch Hewlett Packard Enterprise (HPE) die Funktion AMD PSB.

Einmal-Sicherungen werden durchgebrannt

AMD erklärte gegenüber STH dazu noch, dass sich die Root of Trust (RoT) im PSP per PSB auch dazu benutzen lässt, das digital signierte BIOS des Mainboards zu schützen. Das realisierte AMD mit unwiderruflich nur einmal beschreibbaren Bits im Prozessor, bei denen es sich um sogenannte One-Time Programmable Fuses (OTP Fuses) handelt.

Hat das Mainboard diese OTP Fuses “durchgebrannt”, ist der Prozessor damit an die Herstellersignatur im BIOS dieses Mainboards gebunden und startet auch dann nicht mehr, wenn diese Signatur beziehungsweise die Firmware des Motherboards manipuliert wurde.

Der Prozessor läuft also nur noch in einem Motherboard dieses Herstellers – und dasas erschwert Angreifern Änderungen an der Server-Firmware, um beispielsweise SVE oder UEFI Secure Boot auszuhebeln.

Für Reparaturen und den Gebrauchtmarkt ist das ein Problem

Dummerweise ist diese “Sicherungs”-Funktion AMD PSB aber für den Gebrauchtmarkt sowie bei Reparaturen sehr problematisch, wie der Test zeigt, bei dem STH diese Zusammenhänge feststellte.

Allerdings ist AMD nicht die einzige Prozessorschmiede, die so etwas macht: Auch Intel bietet eine Funktion “Boot Guard” an, die über OTP-Fuses eine Verbindung zwischen der RoT in der Intel-Hardware und einem signierten BIOS herstellt.

Das wird bisher vor allem bei Notebooks von Lenovo genutzt, bei denen der Prozessor fest verlötet ist. Bisher weiß man dazu nur, dass bei Systemen mit Intel Boot Guard keine Modifikationen am BIOS mehr möglich sind.