打破服务器的AMD EPYC处理器的安全性

AMD的数据中心处理器EPYC及其Ryzen Pro系列安全加密虚拟化技术。 当虚拟机存储在RAM中时 ， 它会实时对虚拟机进行解密和加密 ，因此主机操作系统，虚拟机管理程序以及主机上的任何恶意软件都无法监视受保护的虚拟机。 但是，一名德国调查人员刚刚破坏了这种安全性。

EPYC处理器安全性的坏消息

AMD EPYC处理器使用安全加密虚拟化技术，该技术为每个虚拟机分配一个与加密密钥绑定的地址空间ID，以在数据在内存和CPU核心之间移动时对其进行加密和解密。 密钥永远不会将系统留在芯片上，并且每个VM都有自己的密钥。

从理论上讲，这意味着，即使是被劫持，恶意，系统管理程序，内核，驱动程序或其他特权代码也不能检查受保护的虚拟机的内容，这是一项很好的安全功能。

但是， 恶意主机级管理员或虚拟机管理程序中的恶意软件等可以使用称为SEVered的技术来绕过SEV保护并从客户端或用户的虚拟机复制信息。

Fraunhofer （Mathias Morbitzer，Manuel Huber，Julian Horsch和Sascha Wessel）的德国AISEC研究人员说，问题在于主机级黑客可以使用标准页表更改主机PC上的物理内存映射 ，忽略了SEV的保护机制。

研究人员认为，他们已经设计出一种方法来阻止EPYC服务器芯片的安全机制。 如此之多，以至于他们说他们可以通过管理程序和简单的HTTP或HTTPS请求从加密的来宾中提取纯文本数据。

希望AMD能够像Intel对其Core处理器以及有福的Meltdown和Spectre一样更新这些芯片。

TheRegister字体