Há cerca de uma década, a AMD adicionou a funcionalidade Transparent Secure Memory Encryption (TSME) aos seus processadores de topo para fechar uma lacuna na segurança de hardware. Esta tecnologia encripta tudo na memória RAM, o que ajuda a mitigar ataques físicos e explorações directas aos módulos de memória. Com o tempo, o mesmo mecanismo apareceu de forma silenciosa em alguns chips Ryzen de consumo. No entanto, após uma actualização recente de firmware, a funcionalidade deixou de funcionar.
A descoberta do problema
A alteração veio a público em Abril, quando o entusiasta de Linux Ben Kilpatrick instalou um novo sistema operativo numa máquina equipada com um Ryzen 7 9700X, baseado na arquitectura Zen 5. Como parte da sua rotina de segurança, utilizou a ferramenta Host Security ID (HSI) para verificar as configurações de hardware.
Em versões anteriores de firmware, o HSI indicava que a encriptação de RAM estava activa. Desta vez, a leitura mostrou que a funcionalidade não era suportada, mesmo estando ligada na BIOS. Esta discrepância levou o utilizador a procurar respostas junto da MSI, a fabricante da sua motherboard, para perceber o que estava a falhar no sistema.
O papel do firmware AGESA
Os engenheiros da MSI confirmaram que os processadores Ryzen de consumo reportavam o suporte ao TSME quando uma versão mais antiga do AGESA (a arquitectura de software da AMD) geria o arranque. Contudo, ao iniciar os sistemas com o AGESA 1.2.7.0, os mesmos chips passaram a indicar que o TSME não era suportado. Apenas os modelos da linha Pro mantiveram o comportamento original, a mostrar suporte em diferentes motherboards e revisões de software.
Esta mudança de paradigma no firmware levanta questões sobre as decisões da marca, numa altura em que as fabricantes de hardware, como a Asus e a MSI, disponibilizam novos pacotes de BIOS para integrar tecnologias recentes da AMD. A dúvida central passou a ser se a alteração era um erro de código ou uma decisão deliberada para segmentar o mercado.
Exclusividade para o mercado profissional
Para obter uma resposta directa, Kilpatrick abriu um relatório de erro no repositório público da AMD no GitHub. Após várias trocas de mensagens com engenheiros de software da empresa, a equipa de marketing de produto da MSI informou o utilizador de que a AMD comunicou oficialmente que o TSME é agora suportado em exclusivo nos processadores da série PRO.
Testes adicionais revelaram que uma flag interna do sistema de arranque, denominada DfIsTsmeEnabled, devolve o valor “FALSE” nos chips de consumo, mesmo quando a BIOS tem a opção activada. Esta limitação parece ser uma decisão de política de firmware e não uma restrição física do silício, uma vez que os processadores mantêm a capacidade técnica para executar a encriptação. Resta saber se a AMD vai reverter a decisão devido à pressão da comunidade ou manter a encriptação de memória como um exclusivo para empresas.
