Názory k článku
Experimetální AMD openSIL s Coreboot pro základní desku MSI PRO B850-P

Tak toto je veľká vec! Coreboot pre AMD s AMD openSIL je vlastne trošku ako ME_CLEANER pre osekanie INTEL MANAGMENT ENGINE. Super.
Momentálne pracujem so Thinkpadom T480s s librebootom.
Ak, chcete novšie CPU s coreboot - tak máte na výber jedine CPU od Intel.
System76 má dosť dobrú podporu pre coreboot. Tuším aj nejaký produkt od TUXEDO vie vypnúť Intel ME - ale neviem, či majú aj coreboot. Potom ešte nejakí menší výrobcovia. A nakoniec Chromebooky s Intel CPU.
Aj som rozmýšľal nad chromebookom, ale vôbec sa mi nechce ísť do ACER/HP/DELL notebookov. Radšej starší ThinkPad kvôli kvalite.
Veľmi sa teším na ZEN6 a dúfam, že AMD openSIL+coreboot bude podporovať čo najviac hardvéru. Je to obrovský posun.
AMD PSP - Intel ME - ARM TrustZone a binárne bloby v ovládačoch sú to, čo nám berú kontrolu nad naším hardvérom, za ktorý sme si poctivo zaplatli - čím viac kontroly získame späť - tým lepšie.
Držím projektu palce!

Jestli vas trapi jenom ME (coz nevim jak presne, hm, rozvedte?), tak si muzete u DELLu naklikat option "ME disabled". Ale pro bezneho uzivatele, se chovani stroje nikterak nelisi (holt nejsem ta cilovka, co by vyuzivala ty featury co ME nabizi)

Ahoj RDa - vďaka za upresňujúce informácie ohľadne inicializácie AMD CPU skrz PSP - nie je to také "ružové", ako sa na prvý pohľad zdá - veľká škoda.

To, že niekde v BIOSE máme "ME DISABLED" - vôbec nič neznamená, nakoľko to vypína iba ME, a to tak, že ho OS nevidí - to je celé. Intel ME nemôže byť z princípu úplne vypnutý - to nedokáže ani coreboot a ani libreboot - pretože ak je Intel ME až príliš osekaný napríklad pomocou upraveného ME_CLEANER-a - tak sa takýto počítač po 30 minútach automaticky reštartuje.
Výskumníci objavili takzvaný HAP_BIT, ktorý sa prepína vtedy, ak Intel CPU compy idú napríklad do služieb NSA. ME_CLEANER osekáva Intel ME na minimum, avšak nie úplne a plus prepína HAP_BIT.

Prečo by to malo ľudí zaujímať? Intel ME, AMD PSP, ARM TrustZone a ovládača ako binárne bloby môžu skrývať backdoory do systému. Taký backdoor, ktorý nedokáže detegovať ani samotný OS lebo ten beží "vyššie" ako Intel ME. Viem o novinároch, ktorým takto zmizli súbory z notebookov.

Proste je to o zabezpečení a o kontrole vlastného hardvéru, a hlavne o tom, či môžem danému hardvéru ešte ako tak dôverovať.

DELL na ty "ME disabled" veci pouziva ten HAP bit. Pak samozrejme nejede AMT / remote pristup a nekdy ani nektere DRM veci.

Pokud mi realne jde o bezpecnost, tak bych nepouzil zadnou z komercnich platforem (ale spis nejaky soft-core ve FPGA treba, ke kteremu budu mit zdrojaky), resp ten komoditni hw jde pouzit v airgapped nasazeni - zcela offline, coz je snadneji praktikovatelne, kdyz delate seriozni praci.

Me prekvapuje ze lidi povazuji ME/PSP/TZ za takovej strasak - pritom v procesorech od 486SLC bylo SMM, ktere bezelo mimo jakykoliv OS a melo pristup vsude.. a kod byl v nepodepsanem/nechra­nenem biosu. Jsem si prave u jednoho moderniho (Haswell-EP) stroje vsiml blikajici LEDku, ktera znacila ze procesor je v SMM. A kdyz nechcete krast cas hlavniho jadra z procesoru, tak tam date jadro navic... coz delaji uplne vsichni, protoze manazovat nezavisly a uceleny SW je snazsi, nez to lepit na hlavni cpu.

A samozrejme plno reci ohledne backdooru.. ale ze si nainstaluji OS z torrentu, nebo jinak upravuji instalacku... nebo proste nahodej linux z prvniho mirroru a image nikdy neprozenou kontrolou checksumu - protoze veri ze https je zachrani... tak je to holt jen plkani "expertu". No a pak tady mame OS updaty, kterym davate zelenou, a pokud by agentura chtela.. cinklej mikrokod taky nebude problem. Ten si ostatne muzete jednoduse upect pro ZENy dnes uz i sam.

Nevim o tom, ze by realne doslo k zneuziti ME - ktere je zdokumentovane a kdyz ano tak by zrejme zmizl i ten novinar s notasem, nejenom soubor z notasu.

Jiste je na miste otazka zda to muze byt bezpecnostni dira (coz pri te slozitosti dnesnich stroju - nepujde nikdy vyloucit, a klidne si muze fw disku popovidat s fw sitovky), ale nesirte nepodlozene vesnicke plky.

Hlavne bezpecnost nelze zakladat na ne-existenci jedne proprietarni hw/sw komponenty.
One click spasa se fakt nekona.

Vzhledem k tomu, jak je AGESA rozsáhlá, tak mě udivuje, že to s openSIL na ZEN4 funguje.
Zaroveň, pokud vím, je tam dost striktní podepisovací struktura.
A samozřejmě tradiční AMD arogance k čemukoliv malému a nezávislému.
Rozhodně zajímavé sledovat.

Podle clanku a hlavne odkazovaneho blogpostu to vypada ze to je pouze klasicky pre-init skrze PSP, a pak dal je to CoreBoot a specifika desky. Zadna zazracna inicializace CPU skrze openSIL se nekona, ostatne sami zminuji ze tam pouze implementovali rozliseni desktop/mobile do prazdne vetve.

Plus se moc nezminuje nahlas, ze je to PhoenixSoC, tj. 8000 series APU.

Cely to je meh, "kuchli jsme PSP z vendor biosu a velice experimentalne nabastlili coreboot".

Imho openSIL jim v tom ani kousek nepomoh.. jen si treba pripsat SEO keywordy.