AMD 靜靜收起 Ryzen 消費版記憶體加密,買 CPU 要識睇 PRO 字樣
Tech News

AMD 靜靜收起 Ryzen 消費版記憶體加密,買 CPU 要識睇 PRO 字樣

圖片:via Ars Technica — https://arstechnica.com/security/2026/06/users-cry-foul-after-amd-stripped-memory-crypto-from-its-consumer-cpus/
TechLab 編輯部(譯)·

TSME 唔係跑分功能,但關係到硬件安全透明度

件事係點

今次爭議同跑分無關。有用戶發現 consumer Ryzen 原本開到嘅 Transparent Secure Memory Encryption(TSME),喺新 firmware / AGESA 後變成唔支援。Ars Technica 向 AMD 查詢,AMD 只回應 TSME 係 AMD PRO Technologies 入面只套用喺 PRO CPU 嘅安全功能,未交代點解過去一批 consumer Ryzen 又曾經開到。呢種靜靜改安全功能嘅做法,比功能本身更加值得講。

TSME 實際擋咩

TSME 係 firmware 層面開嘅全 RAM 加密,key 由 AMD Secure Processor 管,OS 同 app 基本唔需要配合。威脅模型好窄但真實:有人攞到你部機,靠 cold boot、拆 RAM、偷聽 DRAM bus 嘅方式抽記憶體資料。對普通家用機,呢個風險未必排頭三位;對拎住 notebook 周圍走、機入面有公司 VPN、SSH key、客戶資料嘅人,分別就大好多。

要小心,TSME、SME、SEV 唔係同一樣嘢。Linux kernel 文件講 SME 係 OS 可標記記憶體頁加密,SEV 係加密 VM;TSME 透明好多,BIOS 開咗就全 RAM 走加密,理論上唔需要 mem_encrypt=on。亦因為咁,Windows 上一般用戶好難望一眼就知道有冇真係開;Linux 近年起碼有 fwupd HSI 同 kernel CCP/PSP sysfs 可查。

Ars 梳理嘅個案係 Ryzen 7 9700X 用戶 Ben Kilpatrick。佢 BIOS 有 TSME 選項,但 fwupd HSI 顯示 Encrypted RAM 由 encrypted 變 not supported;後續 MSI / Gigabyte 測試指 consumer 9800X3D 喺同一板同 BIOS 下 tsme_status=0,Ryzen PRO 9945 就係 1。更尷尬係 2020 年 AMD 工程師曾喺公開 issue 話 Ryzen 3700X 應該支援 TSME,2025 年仲建議用 TSME;今次 AMD 就話 TSME 屬於 PRO。中間係錯誤開放、firmware policy,定係產品分級改咗,AMD 仍然冇講清楚。

點樣買同點樣查

如果你砌 AM5 打機 / 剪片,TSME 缺席通常唔會改變推薦;安全基本盤仍然係 BitLocker / LUKS、TPM、Secure Boot、睡眠政策同唔好畀陌生人碰到部機。做 developer 或者處理敏感資料,就唔好再假設「Ryzen 有 BIOS 選項就等於有加密 RAM」。買商務 notebook、mini PC、細公司 desktop fleet,應直接睇 Ryzen PRO / Threadripper PRO / EPYC,同供應商確認 AMD Memory Guard 有冇由 OEM enable。

我睇今次最扣分嘅位係透明度。安全 feature 可以分級賣,企業平台做多啲 validation 亦合理;但已經喺用戶機上跑咗多年嘅功能,如果之後靠 AGESA 收走,又冇清楚 release note、冇 Windows 偵測方法、BIOS 選項仲可以留喺度,買家就只可以估。硬件安全唔應該靠估,尤其係廠商自己叫大家信 firmware 同 silicon root of trust。

  • 普通玩家:唔使恐慌,唔好當 TSME 係必要規格。
  • Linux 用戶:用 fwupdmgr security,或者喺 /sys/devices/.../tsme_status 搵狀態。
  • 公司 IT:採購條款要寫明 Memory Guard / TSME 可驗證開啟,唔好淨係睇 CPU 型號。

參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook