Un usuario instalando Linux en un Ryzen 7 9700X se encontró con que su RAM ya no estaba cifrada, cuando antes sí lo estaba y él no había tocado esa opción en la BIOS. De ahí ha salido toda la historia. La función se llama TSME (Transparent Secure Memory Encryption), cifra todo lo que pasa por la memoria con una clave que se genera en cada arranque, y sirve para que alguien con acceso físico al equipo no pueda sacar datos leyendo directamente los módulos de RAM.
TSME llevaba años funcionando en Ryzen de consumo. A partir de la versión de firmware AGESA 1.2.7.0 dejó de activarse en esos chips, aunque la dejes puesta en la BIOS. El usuario tiró del hilo durante meses y consiguió que MSI hiciera pruebas: en la misma placa y la misma BIOS, un Ryzen 9800X3D de consumo daba el cifrado como no soportado, mientras que un Ryzen 9945 PRO lo mantenía. El silicio es el mismo; el bloqueo está en el firmware, mediante un flag interno (DfIsTsmeEnabled) que devuelve FALSE en las CPU de consumo.
Preguntada por correo, AMD se ha limitado a decir que TSME es una función exclusiva de las CPU PRO dentro de sus tecnologías PRO. Es la primera vez que lo define así. No ha aclarado si es una decisión de producto deliberada o una regresión que se ha colado en el firmware, y esa diferencia importa: si es un fallo tocaría corregirlo, si es política consciente han quitado algo que ya funcionaba.
El ataque que TSME bloquea es el de arranque en frío: congelar los módulos de RAM, sacarlos y leer lo que queda antes de que se borre. Requiere acceso físico al equipo, así que afecta sobre todo a quien maneja datos sensibles (claves privadas, material confidencial) y no tanto a un PC de escritorio en casa.
TSME llevaba años funcionando en Ryzen de consumo. A partir de la versión de firmware AGESA 1.2.7.0 dejó de activarse en esos chips, aunque la dejes puesta en la BIOS. El usuario tiró del hilo durante meses y consiguió que MSI hiciera pruebas: en la misma placa y la misma BIOS, un Ryzen 9800X3D de consumo daba el cifrado como no soportado, mientras que un Ryzen 9945 PRO lo mantenía. El silicio es el mismo; el bloqueo está en el firmware, mediante un flag interno (DfIsTsmeEnabled) que devuelve FALSE en las CPU de consumo.
Preguntada por correo, AMD se ha limitado a decir que TSME es una función exclusiva de las CPU PRO dentro de sus tecnologías PRO. Es la primera vez que lo define así. No ha aclarado si es una decisión de producto deliberada o una regresión que se ha colado en el firmware, y esa diferencia importa: si es un fallo tocaría corregirlo, si es política consciente han quitado algo que ya funcionaba.
El ataque que TSME bloquea es el de arranque en frío: congelar los módulos de RAM, sacarlos y leer lo que queda antes de que se borre. Requiere acceso físico al equipo, así que afecta sobre todo a quien maneja datos sensibles (claves privadas, material confidencial) y no tanto a un PC de escritorio en casa.