Servus zusammen,
in einem der Top Posts (https://www.reddit.com/r/Amd/comments/5x4hxu/we_are_amd_creators_of_athlon_radeon_and_other/def5h1b/) of AMDs Reddit (https://www.reddit.com/r/Amd/) geht es um den Release des Source Codes vom Platform Security Processor (PSP), naja, um den Wunsch dessen.

Warum geht es?
Alle neueren x86-CPUs (und leider nicht nur die) haben Trusted Computing (wikipedia: DE (https://de.wikipedia.org/wiki/Trusted_Computing) | EN (https://en.wikipedia.org/wiki/Trusted_Computing)) mittels Trusted Execution Environment (wikipedia: DE (https://de.wikipedia.org/wiki/Trusted_Execution_Environment) | EN (https://en.wikipedia.org/wiki/Trusted_execution_environment)) onboard.

Die Umsetzung dessen ist bei jedem Hersteller etwas unterschiedlich.
Bei Intel nennt sich das Intel Management Engine (ME) (FAQ (https://libreboot.org/faq/#intelme) @ libreboot.org)
Bei AMD nennt sich das AMD Platform Security Processor (PSP) (FAQ (https://libreboot.org/faq/#amdpsp) @ libreboot.org

Schön und gut, aber worum geht es denn nun?
Ich weiß nicht, wie vielen bekannt ist, dass in eurem PC-System sich ein eigenes "Unter"-System verbirgt, das ihr weder sehen noch wirklich Einfluss nehmen könnt, ja, noch nicht mal nachvollziehen könnt, was es macht!

"MoneyQuote" von wikipedia (https://de.wikipedia.org/wiki/Trusted_Computing):
Trusted Computing bedeutet, dass der Betreiber eines PC-Systems die Kontrolle über die verwendete Hard- und Software an Dritte abgeben kann.
Streicht das "kann" und wem wird wohl "getrusted"? :rolleyes:

Aus den FAQ (https://libreboot.org/faq/) von libreboot.org:
The Intel Management Engine (Anm.: Auch AMDs PSP) with its proprietary firmware has complete access to and control over the PC: it can power on or shut down the PC, read all open files, examine all running applications, track all keys pressed and mouse movements, and even capture or display images on the screen. And it has a network interface that is demonstrably insecure, which can allow an attacker on the network to inject rootkits that completely compromise the PC and can report to the attacker all activities performed on the PC. It is a threat to freedom, security, and privacy that can't be ignored.

Übersetzung:
Die Intel Management Engine (Anm.: Auch AMDs PSP) mit ihrer proprietären Firmware hat vollständigen Zugriff auf den PC und kann ihn sogar steueren: Sie kann den PC einschalten oder herunterfahren, alle offenen Dateien lesen, alle laufenden Anwendungen untersuchen, alle Tasten und Mausbewegungen verfolgen und sogar Bilder speichern oder auf dem Bildschirm anzeigen. Sie hat eine Netzwerk-Schnittstelle, die nachweislich unsicher ist, was einem Angreifer im Netzwerk erlauben kann, Rootkits zu injizieren, die den PC vollständig kompromittieren und dem Angreifer alle auf dem PC ausgeführten Aktivitäten melden können. Es ist eine Bedrohung für Freiheit, Sicherheit und Privatsphäre, die nicht ignoriert werden kann.

Es ist ein völlig eigenständiges, unkontrolliertes System unter eurem System, auf den ihr keinen Einfluss habt, aber alles aufzeichnen kann, was ihr tut und es sogar weiterleiten (LAN) kann.
Manche würden nun sagen, bitte nicht übertreiben, aber was hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) gesagt:
„Durch den Verlust der vollen Oberhoheit über Informationstechnik“ seien „die Sicherheitsziele ‘Vertraulichkeit’ und ‘Integrität’ nicht mehr gewährleistet.“
Und warnte damit vor Windows 8 in Kombination mit TPM 2.0! (@Zeit.de (http://www.zeit.de/digital/datenschutz/2013-08/bsi-reaktion-windows-8-trusted-computing) oder Suche (https://www.heise.de/suche/?q=TPM+BSI&search_submit=Suchen&rm=search) @ heise.de)

=== === ===

Auf Reddit ist nun ein Post aufgetaucht, der auch noch "kiloweise" "up gevoted" wurde! Das finde ich schon mal toll, :up:
In diesem wird AMD gebeten, den Source Code der Platform Security Processor (PSP) zu öffnen und an Libreboot (https://libreboot.org/) zu geben.

Auszug @ AMDs Reddit (https://www.reddit.com/r/Amd/comments/5x4hxu/we_are_amd_creators_of_athlon_radeon_and_other/def5h1b/)
Dear AMD, could you please release the Platform Security Processor (PSP) source code to the Coreboot / Libreboot project? (or publicly) The current perception of AMD (and Intel) among FOSS groups like this is not exactly, stellar.
==> https://www.reddit.com/r/Amd/comments/5x4hxu/we_are_amd_creators_of_athlon_radeon_and_other/def5h1b/


Vielen ist es leider nicht bewusst, was sie alles an "extra" kaufen, was im positiven Zweifelsfall keinen negativen Einfluss auf eure Computer-Aktivität hat, aber auf der anderen Seite "Tür und Tor" öffnen könnte. Ja, vielleicht sogar schon tut, denn nachvollziehen kann man es nicht. Und da es leider Intel und AMD onboard haben und Microsoft es auch forciert, kommt man heute zur Zeit nicht drum herum.

AMD hat in der Vergangenheit viel als OpenSource entwickelt oder freigegeben. Z.B. haben Gamer sicherlich schon von FreeSync (https://en.wikipedia.org/wiki/FreeSync) gehört, AMDs Mantle trug "dicke" zu Vulkan bei, die proprietären Treiber für Linux sind nun OpenSource oder auch AMDs GPUOpen (http://gpuopen.com/).

Es ist nur ein Reddit-Post, aber vielleicht habt ihr einen Account und möchtet auch was schreiben oder auch einfach nur einmal den Pfeil nach oben klicken.

Ich (ja, ich bin ein Linuxer) fände es super, wenn der Code von AMDs PSP bei Libreboot (https://libreboot.org/) landen würde, dann und nur dann wäre die komplette Kontrolle unserer Systeme wieder garantiert.

Gruß Bbig

Ein generelles Problem, das natuerlich Intel auch hat. Bei amd ist der PSP auch schon in aelteren APUs drin. Schoen wenn das ganze Fahrt aufnimmt. Immerhin macht AMD auch AMAs dort, scheint die Plattform also ernstzunehmen, ich bin aber nicht sicher, ob ein reddit post hilft.
Naja, es ist etwas :up:

Ein Produktmanager hat auch schon eine wenig hoffnungsvolle Antwort gegeben:
Thanks for the inquiry. Currently we do not have plans to release source code but you make a good argument for reasons to do so. We will evaluate and find a way to work with security vendors and the community to everyone's benefit.

Ein weiterer Kommentar sieht etwas hoffnungsvoller aus, wenn man an das Gute in AMD glauben mag:
I will bring this to the attention of the product team for serious consideration, so please feel like you have been heard even if we were not able to give you an easy 'yes' right away. (https://www.reddit.com/r/Amd/comments/5x4hxu/we_are_amd_creators_of_athlon_radeon_and_other/def7ti0/)

Mittlerweile hat Libreboot eine AMD-Aufrufseite:

Libreboot calls on AMD to release source code and specs on new Ryzen platforms (https://libreboot.org/amd-libre/)

Prinzipiell finde ich das gut, aber ob man da nun wirklich die Email des CEO (Lisa Su) veröffentlichen sollte; ich finde das mehr als unangebracht.

Kleines Update:
Hi Guys, we're still working the process of understanding the nuances of the request and how it would be implemented, to figure out costs, timelines, etc.

It's worth keeping in mind that the AMD Security Processor is not an 'optional component', integrated into the die but still functionally a plug-in piece; it is an integral part of the design so disabling features or adjusting how they work/are exposed isn't an 'on/off' discussion.

When a decision is made, communications will follow. Thank you all for your interest and feedback for what you want to see in AMD platforms.

https://www.reddit.com/r/Amd/comments/636831/dear_amd_dont_think_weve_forgotten_about_this/dfrumlt/

Die scheinen tatsaechlich in Erwaegung zu ziehen, sich mal Gedanken zu machen ;p

Ich will ja nicht alle Hoffnungen kaputt machen, aber es ist sehr unwahrscheinlich, dass AMD den Code veröffentlichen wird. Zumindest nicht vollständig. Vermutlich gehört denen der Code nicht mal im vollen Umfang.

Auch im Zuge des OpenSource Treibers sind viele wichtige Komponenten in einen Closed Source Blob gewandert, ohne den die Grafikkarten gar nicht erst richtig funktionieren. Alleine die Möglichkeit eines Closed Source Blobs hat die aktuellen OpenSource Treiber erst wirklich ermöglicht. Selbst Intel hat mittlerweile ihre iGPUs "verblobt".

Was AMDs Technik-Abteilung dort erzählt wird ziemlich sicher ganz hart an AMD Legal Abteilung zerschellen. Ihre GPUopen Bemühungen haben einen wirtschaftlichen Hintergrund -> Custom iGPUs und GPU Lizenzen allgemein. Die Öffnung vom PSP würde kaum Vorteile für AMD bringen.

Das sehe ich im Prinzip genauso. Trotzdem ist es nett zu sehen, dass es intern auch Leute gibt, die das ernstzunehmen scheinen und Anregungen zumindest mal weitergeben.
Die angesprochenen Grafiktreiber sind ja auch nicht der Freiheit wegen offen, sondern wegen der besseren Akzeptanz, Interoperabilitaet und einfacheren Verteilung. Freie Treiber funktionieren besser und sind auch viel einfacher zu handhaben. Ohne blobs geht trotzdem nichts, das "richtig" in dem Satz kannst du streichen. Es ist aber zumindest immer noch komfortabel, wenn es ueber linux-firmware verteilt wird.

Weiter zu gehen ist so einer Firma dann halt nicht mehr unmittelbar vorteilhaft oder ueberhaupt moeglich. Man sieht ja schon am Vulkan Treiber dass es ein riesen Drama ist auch nur diesen relativ kleinen userspace Part zu veroeffentlichen.

Ich hoffe trotzdem, dass AMD von der vielen Asche die sie jetzt hoffentlich ab diesem Jahr wieder mit Ryzen, Naples, Vega usw. machen auch etwas fuer solche Themen uebrig lassen.
Intel wurde fuer ihr Engagement oft gefeiert, konnte es sich aber auch problemlos leisten entsprechend Leute zu unterhalten. Trotzdem koennte es auc bei denen besser sein, haben sie inzwischen jetzt wie du sagst auch Blobs und um wieder auf das Thema zurueckzukommen sieht es ja bei denen mit der ME kein Stueck besser aus. Wenn AMD sich da als Alternative sieht, kann das durchaus auch doch noch vorteilhaft werden.

Mit den (automatisch installierten) "Chipsatztreibern" kommt erstmal ein backdoor Service mit. Robert Hallock behauptet, dass er nur auf localhost hoert, was aber nicht stimmt:
https://www.reddit.com/r/Amd/comments/6dinzy/why_do_amds_psp_drivers_make_my_pc_publicly/

:facepalm:

na da kann man ja nur auf ein exploit warten.

Mittlerweile kann man sich ja fragen, welcher Treiber unter Windows keinen Webserver mitliefert :facepalm:

Auf dem C3 gab es uebrigens auch einen Vortrag zum PSP.

Video: https://media.ccc.de/v/36c3-10942-uncover_understand_own_-_regaining_control_over_your_amd_cpu
Slides: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/system/event_attachments/attachments/000/004/054/original/36C3_slides_export.pdf

Vorab: Laut den Forschern ist der PSP im Vergleich zur Intel ME relativ minimalistisch.

Jedenfalls ist der ganze Secure Kram gebrochen, weil ziemlich schlecht gemacht. Man kann den AMD key durch einen fehlenden boundary check ueberschreiben. Dann kann man noch die page tables ueberschreiben und sich Zugriff auf privileged memory verschaffen.
Man kann sich also auch nicht auf sowas wie SEV verlassen, wenn man dem Cloud-Anbieter nicht vertraut. Es koennte auch sein, dass es mal wieder Probleme mit DRM gibt weil die TEE nicht sicher ist.

AMD hat die Fehler zwar behoben, es gibt aber keinen Downgrade-Schutz, man kann also einfach wieder die kaputte alte Firmware flashen.

Es waere auch moeglich, freie Firmware zu bauen, allerdings ist der Aufwand, die benoetigte Funktionalitaet neu zu implementieren ohne Doku natuerlich hoch.