Diskuze: Threadrippery 5000 jsou pouze pro Lenovo, jinde je nepoužijeme

odb

Level

14. 3. 2022 11:19

Komentáře tohoto uživatele máš zablokované.

@Bendom To nebude na uzamknute na konkretnu dosku ale na kluc. To CPU bude fungovat v kazdej doske, ktora bude mat ten kluc.
Takto som to ja pochopil.

peteb

Level

14. 3. 2022 12:04

Komentáře tohoto uživatele máš zablokované.

@Bendom Mělo by to tak být. Jedinou otázkou je, zda MB mají tuto funkci defaultně zapnutou a zda ji lze vůbec externě vypnout (zabránit jednorázovému protlačení klíče výrobce MB do CPU).
https://www.servethehome.com/amd-psb-vendor-locks-epyc-cpus-for-enhanced-security-at-a-cost/

bespi

Level

14. 3. 2022 13:12

Komentáře tohoto uživatele máš zablokované.

@Bendom Premyslejte. Jaky by z bezpecnostnich duvodu melo smysl blokovat CPU na typ desky? Blokovani je na konkretni desku. Stejne tak to lze provest s grafickymi kartami generaceVega a novejsimi. Je to jen otazka podpory v UEFI. Aktivaci funkce lze provest jen jednou.

https://en.wikipedia.org/wiki/AMD_Platform_Security_Processor

durib

Level

14. 3. 2022 15:31

Komentáře tohoto uživatele máš zablokované.

@Bendom No právě že to z bezpečnostních důvodů smysl nedává. Není to fixace na konkrétní desku, ale konkrétní klíč. Klíč, který zatím vlastní jen Leninovo. Tedy v jejich prostředí to půjde vždy vyměnit, pokud budou chtít.
Vypálené klíče, exkluzivity, lehké fixlování v grafech ... vypadá to, že s jídlem roste chuť a AMD začíná vlčet a mě se to přestává líbit. Doufám, že je Intel opět zpraží.

wrah666

Level

14. 3. 2022 16:40

Komentáře tohoto uživatele máš zablokované.

@Bendom Pravda, testy občas mírně neodpovídají. Ale stále je to drobnost orpoti Intelu, kdy byl na AMD stock chladič a na Intelu kryo lednička. Nebo si vzpomínám, jak v době "hyperthreadingu" vyzdvihovali výkon více vláken. A pak bum, AMD najednou mělo silnější a jak se pěkně přepisovaly testy, jelikož "tolik vláken už je přeci zbytečných a běžný uživatel to nevyužije."

bespi

Level

14. 3. 2022 16:48

Komentáře tohoto uživatele máš zablokované.

@Bendom Zkuste to dat do jine Lenovo desky, a uvidite, ze to nefunguje. Intel ma obdobu v podobe Management Engine. Chyba neni v dane funkci, chyba je, ze to Lenovo automaticky zapina bez moznosti volby ze strany zakaznika.

Je spousta mist, kde zapnuti takove funkce dava velky smysl - tam kde je nutna extremni bezpecnost.

durib

Level

14. 3. 2022 18:05

Komentáře tohoto uživatele máš zablokované.

@Bendom Ty jsi řádně mimo. AMD Platform Security Processor ani Intel Management Engine nemají s tímhle vendor lock-in nic společného.
Pleteš si to s AMD Platform Secure Boot a CPU je tímto postupem svázán s konkrétním digitálně podepsaným firmwarem. Tedy bude fungovat na všech deskách, který ten podepsaný FW budou mít - už se těším, až budou po netu běhat unlockery s ukradenými klíči.
A ne, v žádné oblasti to z hlediska bezpečnosti nedává smysl. Nebo tu chceš tvrdit, že přendání CPU z "extrémně bezpečné" mašiny do mašiny jiné, nějak sníží bezpečnost té první? :D Kde prosím tě žiješ?

bespi

Level

14. 3. 2022 18:32

Komentáře tohoto uživatele máš zablokované.

@Bendom Obavam se, ze naprosto mimo jsi ty. V "dnesnich" (ona je to uz je to docela dlouho) CPU od Intelu i AMD je nekolik micro CPU jader pro vnitrni rizeni, ktere jsou casto v behu i ve vypnutem stavu (pokud do PC jde energie). Dokazou zpracovavat i zvuk z mikrofonu, a dalsi podmety. Z operacniho systemu se k nim nelze nijak dostat. V tomto pripade, pokud nesouhlasi klic tak velka jadra ani nejsou aktivovana. Zapis klice do CPU je jednorazovy, nelze jej prepsat. Zadny unlocker nenapises. A, ano prendanim HW nekam jinam lze vyuzit k pristupu ke chranenym datum. Kdyz o necem naprosto nic nevis, tak but radeji ticho.

durib

Level

14. 3. 2022 23:57

Komentáře tohoto uživatele máš zablokované.

@Bendom Mícháš tu dohromady tolik věcí, že ani nevím, kde začít. Tak snad jen ve zkratce, abys věděl, co si máš dostudovat:
1. AMD Platform Security Processor ani Intel Management Engine nemají s tím jednorázovým zápisem nic společného. Za to může jiný k tomu navržený obvod.
2. Unlocker nebude na CPU, ale na firmware desky - stačí ho totiž jen správně podepsat, aby CPU fungoval.
3. Možná si to pleteš s Cold boot attack. Ten byl demonstrován u RAM. Ukaž věrohodný příklad kdy se přendáním CPU kompromitovala data z původního stroje a hluboce se ti omluvím.

bespi

Level

15. 3. 2022 10:13

Komentáře tohoto uživatele máš zablokované.

@Bendom 1. Pletes se ty. Tuto funkci opravdu resi PSP. Ten jednorazovy zapis pochopitelne je vyvolan z UEFI. PSP je odpovedne za inicializaci CPU. K inicializaci CPU pokud nesedi kod vubec nedojde. Kdyby to resilo vyhradne PSB, neslo by zabranit inicializaci CPU v jine desce a funkce by mohla jen blokovat pro zmenu vlozeni jineho CPU do desky. Coz se pro zmenu nedeje.

2. Prani otcem myslenky. Tohle nebude pasivni klic.

3. Nepletu. Pochopitelne taktez nevim v soucasnosti o zadne moznosti, jak toto vyuzit u CPU, ale chapu, ze jsou mista, kde se budou chtit proti teoreticke moznosti pojistit. Jak uz jsem rekl, je totalni blbost nasazovat hromadne zamek CPU, ale pro specificke pripady se tomu nebranim.

Nikde neni tato funkcionalita popsana, stejne jako fungovani AMD PSP nebo Intel MEI. I kdyz je pravda, ze pro Intel MEI starsi verze zdrojaky unikly. PR diagramy atd, z toho se vychazet neda.

durib

Level

15. 3. 2022 12:51

Komentáře tohoto uživatele máš zablokované.

@Bendom "Nikde neni tato funkcionalita popsana, stejne jako fungovani AMD PSP nebo Intel MEI"
Přesto ti nepřijde hloupé sem psát zaručené informace, jak to funguje. Neděláš tam náhodou údržbáře?
Ještě bych prosím rád věděl, co si představuješ pod pojmem "pasivní klíč".