Falsa sensación de seguridad: AMD retiró silenciosamente el cifrado de memoria en algunos procesadores Ryzen
Opción activada y modo TSME en marcha, pero sin protección: ¿por qué?
La protección de la memoria suele pasar desapercibida hasta que se descubre que el mecanismo habitual ya no funciona: usuarios de procesadores AMD Ryzen descubrieron la desaparición de TSME en modelos de consumo sin aviso por parte de AMD.
TSME, o Transparent Secure Memory Encryption, cifra todo el contenido de la memoria RAM. Esta protección ayuda a reducir el riesgo de ataques físicos en los que un atacante intenta extraer datos de los módulos de memoria, por ejemplo, tras un reinicio o con acceso directo al dispositivo. Antes el mecanismo funcionaba no solo en procesadores profesionales de AMD, sino también en algunos Ryzen de consumo.
El problema lo observó el usuario de Linux Ben Kilpatrick al instalar un nuevo sistema en un equipo con un Ryzen 7 9700X. Una comprobación mediante Host Security ID mostró que el cifrado de la memoria ya no estaba soportado, aunque la función estaba activada en la BIOS. Antes, la misma comprobación mostraba que la memoria estaba cifrada.
Tras varios meses de investigación, los ingenieros de MSI determinaron que el comportamiento depende de la versión de AGESA, un componente de AMD que participa en el arranque del hardware antes de cargar el sistema operativo. Con la versión antigua de AGESA, TSME se activaba en los Ryzen de consumo, mientras que con AGESA 1.2.7.0 la protección ya aparecía como no disponible. En los procesadores Ryzen Pro el mecanismo siguió funcionando en distintas placas y versiones de BIOS.
Análisis adicionales de los volcados del AMD Boot Loader mostraron que la bandera interna DfIsTsmeEnabled permanece desactivada en los procesadores de consumo, incluso cuando la función TSME está activada en la BIOS. En los Ryzen Pro y en EPYC esa misma bandera se activaba con la configuración correspondiente. AMD respondió únicamente que TSME forma parte de las funciones de seguridad de AMD PRO Technologies para procesadores PRO, pero no explicó por qué el mecanismo funcionaba antes en los Ryzen convencionales.
Por lo que indican los datos disponibles, la compañía no promocionó TSME como una función de los procesadores de consumo, pero los comentarios de ingenieros de AMD y el funcionamiento de la protección durante años en esos chips hicieron que algunos usuarios esperaran que el mecanismo formara parte de las capacidades de la plataforma. La principal queja no se refiere solo a la limitación en sí, sino también a que el cambio se produjo sin un aviso claro y era difícil de detectar, especialmente en Windows.
Hasta que AMD ofrezca una explicación técnica, los usuarios no deberían considerar que los Ryzen de consumo están protegidos por TSME solo por la configuración en la BIOS. Se puede verificar el estado real del cifrado de la memoria con herramientas como Host Security ID en Linux, y si la protección frente a ataques físicos es crítica, conviene confirmar de antemano el soporte de TSME para el modelo de procesador y la versión del firmware.