Ваш процессор Ryzen использовался для шифрования вашей оперативной памяти. Обновление прошивки тихо отключило эту функцию.

      TL;DRAMD тихо отключил шифрование памяти TSME на потребительских процессорах Ryzen через прошивку. Кремний по-прежнему поддерживает эту функцию, но AMD утверждает, что она теперь доступна только для PRO.

      AMD тихо отключила функцию безопасности на своих потребительских процессорах Ryzen, которая защищала пользователей от физических атак на память их компьютера. Эта функция, Прозрачное Шифрование Защищенной Памяти (TSME), шифрует все данные, хранящиеся в ОЗУ, с использованием ключа, сгенерированного аппаратным обеспечением, который меняется при каждой загрузке. Когда функция активна, она делает атаки холодной загрузки, прослушивание интерфейса DRAM и физическое извлечение модулей памяти бесполезными, поскольку извлеченные данные зашифрованы.

      TSME работала на потребительских чипах Ryzen в течение многих лет. Обновление прошивки тихо отключило ее, и AMD отказалась объяснить, почему.

      Изменение было обнаружено в апреле Беном Килпатриком, пользователем Linux, ориентированным на конфиденциальность, который устанавливал новую операционную систему на машине с процессором Ryzen 7 9700X, частью архитектуры AMD Zen 5. Когда он запустил Host Security ID, инструмент аудита, который оценивает конфигурации безопасности прошивки и аппаратного обеспечения, вывод показал, что зашифрованная ОЗУ изменилась с "Зашифровано" на "Не поддерживается" без соответствующего обновления BIOS или изменения системы.

      Килпатрик подал отчет об ошибке в публичный репозиторий инженерных разработок AMD на GitHub. На него ответили два инженера AMD. Том Лендаки, инженер-программист AMD, сказал, что не знает, что вызвало изменение, и предложил переключить настройку BIOS.

      Марио Лимончелло, главный член технического персонала AMD и куратор fwupd, утилиты обновления прошивки для Linux, дал тот же совет.

      Ни одно из предложений не сработало. Килпатрик escalировал проблему в MSI, производителю его материнской платы, и в конечном итоге убедил инженерную команду компании провести контролируемые тесты.

      Результаты были однозначными. MSI протестировала как потребительский Ryzen 9800X3D, так и Pro Ryzen 9945 на одной и той же материнской плате Asus X870E с тем же BIOS. Pro чип показал статус TSME 1, что означает, что он включен, в то время как потребительский чип показал 0.

      Инженеры BIOS MSI пошли дальше, изучив захваты памяти из загрузчика AMD, компонента в прошивке Generic Encapsulated Software Architecture, который инициализирует аппаратное обеспечение перед загрузкой операционной системы. Они обнаружили, что внутренний флаг AGESA под названием DfIsTsmeEnabled возвращал FALSE для потребительского процессора, независимо от того, была ли TSME установлена на AUTO или ENABLED в BIOS. Тот же флаг возвращал TRUE для Pro чипа, когда TSME была включена.

      Кремний в обоих процессорах идентичен. Ограничение полностью реализовано в прошивке. Потребительский чип Ryzen физически способен шифровать память, но ему говорят не делать этого.

      Когда Килпатрик сообщил об этих находках инженерам AMD на GitHub, он напрямую спросил, является ли установка DfIsTsmeEnabled на FALSE на потребительских чипах ограничением кремния или решением по политике прошивки. Лимончелло ответил: "Прошу прощения; но у меня нет дополнительной информации по этой теме." Обсуждение на этом закончилось.

      AMD отказалась отвечать на вопросы Ars Technica, кроме одного заявления: TSME "является функцией безопасности, применяемой только к PRO процессорам в рамках технологий AMD PRO." Это первый известный случай, когда компания явно заявила об этом ограничении. AMD давно утверждала, что связанная функция Secure Memory Encryption ограничена уровнями Pro и EPYC, но TSME находилась в серой зоне.

      История усложняет позицию AMD. В обсуждении на GitHub в 2020 году о функциях шифрования на процессорах AMD Лендаки подтвердил, что Ryzen 3700X, потребительский чип, "должен поддерживать TSME." В последующем 2025 года в той же теме он рекомендовал использовать TSME на том, что явно было потребительским процессором.

      Уязвимости безопасности на уровне чипов имеют долгую историю неожиданного обнаружения производителями, но это не ошибка, которая была обнаружена. Это рабочая функция, которая была отозвана.

      AMD никогда официально не рекламировала TSME как доступную на потребительских чипах Ryzen. Но функция работала, инженеры AMD подтвердили, что она работала, и пользователи строили свою безопасность вокруг нее.

      Изменение произошло через рутинное обновление прошивки AGESA без примечания о выпуске, без уведомления и без возможности для пользователей Windows обнаружить это. На Linux для обнаружения требовалось запустить HSI или вручную прочитать конкретный аппаратный регистр.

      Практическое воздействие очевидно. Любой, кто использует потребительский процессор Ryzen и полагался на TSME для защиты от атак физического доступа, включая журналистов, активистов, исследователей безопасности и всех, кто работает с конфиденциальными данными на ноутбуке, потерял эту защиту, не будучи уведомленным.

      Настройка BIOS все еще отображается. Она все еще переключается. Она ничего не делает.

      Изменения безопасности на уровне прошивки в процессорах notoriously difficult для конечных пользователей для обнаружения, и производители чипов исторически медленно сообщают о них. Молчание AMD о том, было ли это намеренным решением по политике или случайной регрессией, делает невозможным для затронутых пользователей оценить свои риски.

      Джо Фицджеральд, эксперт в области безопасности на уровне кремния, сказал Ars Technica, что AMD должна объяснить пользователям, независимо от причины. "Они могли не осознать, что сделали это, что привело к их уклончивым ответам, или они могли сделать это намеренно и попытаться избежать ответственности," сказал он. В любом случае, кремний способен, функция работала, и она была удалена через прошивку без уведомления.

      Вопрос, который Килпатрик задал инженерам AMD, остается без ответа: это ошибка или бизнес-решение? Если это ошибка, AMD должна ее исправить.

      Если это преднамеренное ограничение рабочей функции безопасности, чтобы подтолкнуть пользователей к более дорогому оборудованию Pro, AMD должна это сказать. Текущая позиция, признающая ограничение, отказываясь объяснить его, не удовлетворяет ни одной из возможностей.