Google dichtet Speicherverschlüsselung des AMD Epyc ab

Google-Sicherheitsexperten fanden mehrere Fehler in der RAM-Verschlüsselung AMD SVE des Epyc 7003 für "Confidential Computing" in der Cloud.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen

AMD Epyc 7663 "Milan"

(Bild: c't)

Von
  • Christof Windeck

Viele Cloud-Dienstleister bieten "Confidential Computing"-Instanzen an, die die Daten ihrer Kunden vor unbefugten Zugriffen schützen sollen. Zu den gängigen Confidential-Computing-Funktionen gehört RAM-Verschlüsselung; das setzen AMD-Epyc-Prozessoren mit "Secure Encrypted Virtualization" (SEV) um. Die Sicherheitsexperten des Google Project Zero (GPZ) haben die SEV-Funktionen des AMD Epyc 7003 "Milan" genauer untersucht, der auch in Google Cloud zum Einsatz kommt (Instanztyp C2D). Dabei fanden die GPZ-Experten mehrere Schwachstellen und Fehler in der Umsetzung, die AMD mittlerweile behoben hat.

GPZ beschreibt die Fehler im Dokument "AMD Secure Processor for Confidential Computing - Security Review".

AMD hat die nötigen Patches in die AGESA-Version MilanPI-SP3_1.0.0.7 eingebaut, die in BIOS-Updates der jeweiligen Server- und Mainboard-Hersteller einfließt.

Auch für Epyc-Prozessoren der ersten und zweiten Generation (Naples, Rome) gibt es Sicherheitspatches, die AMD im Security Bulletin AMD-SB-1028 auflistet. Insgesamt geht es um 14 CVE-Einträge, von denen die meisten als "mittel" eingestuft sind und nur einer als "hoch".

Für die komplizierte RAM-Verschlüsselung musste AMD schon mehrfach Sicherheitsupdates nachreichen.

Aber auch für Intels SGX gab es schon mehrere Patches, auch gestern hat Intel dafür Microcode-Updates veröffentlicht (Intel-SA-00614) und empfiehlt Updates für Linux-Treiber (Intel-SA-00603)

Mehr von c't Magazin Mehr von c't Magazin

(ciw)