AMD, kullanıcı tepkisinin ardından tüketici CPU'larında bellek şifrelemesini geri getirdi

AMD, Mayıs ayında piyasaya sürdüğü Ryzen 9000 işlemcilerinde devre dışı bıraktığı «Transparent Secure Memory Encryption» (TSME) özelliğini bir mikrokod güncellemesiyle yeniden etkinleştireceğini duyurdu. Şirket, Ars Technica'ya yaptığı açıklamada kararı «kullanıcı geri bildirimlerine ve güvenlik araştırma topluluğunun girdilerine yanıt olarak» aldığını söyledi.

TSME, RAM'in sistem belleğinde sakladığı verileri donanım düzeyinde otomatik olarak şifreleyen bir özellik. Bir saldırgan fiziksel olarak RAM çiplerine erişse bile (örneğin «cold boot» ya da «evil maid» saldırısında), şifrelenmemiş veri okumak son derece zor olur. Sunucu sınıfı EPYC işlemcilerde uzun süredir standart, ancak tüketici sınıfında 2022'den beri yer alıyordu.

AMD, yeni Ryzen 9000 (Zen 5) hattında TSME'yi varsayılan olarak kapalı bıraktığında, kullanıcı topluluğu ve güvenlik araştırmacıları bunu önemli bir gerileme olarak değerlendirdi. Linux çekirdek geliştiricilerinden Greg Kroah-Hartman, açıklamada «Cihazın varsayılan güvenlik durumunu düşürmek, milyonlarca cihazda ele geçirilebilir veriyi geride bırakır» dedi.

AMD'nin yorumu kısa: «TSME, küçük bir performans cezasıyla geliyordu; çoğu tüketici iş yükü için fark edilebilir olmadığını kabul ediyoruz. Mikrokod güncellemesini bu yaz dağıtacağız». Şirket, gecikmenin ana sebebinin çekirdek yan kanal saldırılarında yapılan ek doğrulamalar olduğunu söyledi.

Performans etkisi tartışıldı. AMD'nin kendi karşılaştırmalı testleri, TSME'nin oyun ve genel masaüstü iş yüklerinde yüzde 1-2'lik düşüşe yol açtığını gösteriyor. Sanallaştırma ve veritabanı iş yüklerinde performans gerilemesi yüzde 4'e kadar çıkıyor.

Intel'in eşdeğeri olan Total Memory Encryption (TME) özelliği, 12. nesil Core (Alder Lake) ailesinden bu yana standart olarak etkin. Ancak Intel, TME-Multi-Key (TME-MK) özelliğini hâlâ Xeon işlemcilere saklıyor; bu, sanal makineler arası şifreleme ayrımı yapmaya olanak veriyor.

Microsoft, Windows 11 24H2 güncellemesinden bu yana TME etkin olan sistemleri BitLocker disk şifrelemesi kurulumunda otomatik olarak tercih ediyor. AMD'nin TSME'yi geri getirmesi, Windows kurulumlarında benzer otomatik tespitin Ryzen 9000 için de aktive edilmesini sağlayabilir.

Kurumsal alıcılar için bu önemli. Bir CIO için, dizüstü bilgisayar bulunup ya da çalındığında belleğin otomatik şifreli olması, kurumsal sızıntı riskini azaltıyor. Avrupa'nın NIS2 direktifi ve ABD'nin Cyber Incident Reporting yasası, bu tür kaybolma olaylarında bildirim yükümlülüklerini sıkılaştırdı.

Linux çekirdek 6.10'dan bu yana TSME'yi sistem başlangıcında zorunlu olarak etkinleştirme seçeneği eklendi (`mem_encrypt=on`). AMD'nin yeni mikrokoduyla, bu bayrak Ryzen 9000 üzerinde tutarlı çalışacak. Windows tarafında, Microsoft'un Insider yapılarında benzer bir sürücü güncellemesi şu anda test ediliyor.

Güvenlik araştırmacısı Daniel Gruss (TU Graz), Ars Technica'ya «Bellek şifrelemesi tek başına bir gümüş mermi değil ama temel bir güvenlik katmanı; varsayılan olarak kapalı olması 2026'da kabul edilemez» dedi. Tüketici PC üreticilerinin önümüzdeki BIOS güncellemelerinde özelliği nasıl ele alacağı, AMD'nin yeni yaklaşımının pratikte ne kadar etkili olacağını belirleyecek.