AMD limita sus CPU EPYC: si se cambian de placa bloquean el sistema

AMD limita sus CPU EPYC: si se cambian de placa bloquean el sistema

Javier López

De un tiempo a esta parte AMD le está dando donde más le duele a Intel y donde el gigante azul tiene su mayor fuente de ingresos: en los servidores. Las CPU EPYC están ganando fama sin duda y van arañando cuota de mercado mes a mes, algo que ha hecho a Intel reaccionar con Ice Lake-SP a 10 nm ++. Pero, aun así, la industria cataloga a AMD como plataforma y CPUs más seguras, en parte por un sistema que ahora sabemos que tiene una limitación importante: no permite que la CPU AMD EPYC cambie de sistema.

No es muy común que una empresa o entidad pública tenga el músculo financiero para cambiar sus equipos, servidores y en general infraestructura en un breve plazo de tiempo. Normalmente son compras que van destinadas a varios años vista, si no décadas en los casos más extremos.

Por ello, detectar problemas de compatibilidad no es algo prioritario, ya que son equipos a medida por el fabricante, donde todo trabaja a la primera, pero en las unidades de menor tamaño para tareas más livianas, sí que hay un mercado de segunda mano debido a las actualizaciones, donde ahora conocemos algunos detalles de los nuevos AMD EPYC.

AMD podría cargarse de un plumazo el mercado de segunda mano de servidores

EPYC Server

No es tan activo como el mercado de gaming, pero sí que es cierto que las ofertas por norma general son mejores. El mercado de servidores puede recibir un varapalo interesante en su segunda mano por una característica que AMD tiene en alta estima: PSB.

Como bien sabemos, los procesadores EPYC, aunque son x86, contienen un microprocesador ARM Cortex-A5 integrado que ejecuta su propio sistema operativo, totalmente independiente al que se esté usando en el servidor.

Este procesador con la tecnología PSB es la piedra angular de AMD para la seguridad de las plataformas EPYC, ya que gestionan de manera independiente tanto claves como el hardware de dicha plataforma. Además, está constantemente recibiendo updates para la seguridad, por lo que es una pieza activa dentro de AMD.

Pero, ¿cuál es el problema? que PSB también se encarga de habilitar el arranque validado por hardware, y esto es un problema para cambiar de CPU.

La CPU interactúa con la plataforma y con la seguridad de la misma, ¿bloqueos a la vista?

AMD-EPYC-7002-Platform-Secure-Memory-Encryption

El problema de tener una CPU AMD EPYC tan inteligente es que vincula la seguridad del sistema con ella misma. Protege la BIOS, el arranque del sistema operativo mediante UEFI y por definición define el hardware que la integra, por lo tanto, es el OEM el que tiene que firmar su propia BIOS criptográficamente para dicha plataforma.

Dicho de otra manera más simple, AMD envía los procesadores desbloqueados, pero una vez que se instalar en la placa base y se enciende la plataforma con PSB habilitado se establece un vínculo de seguridad que solo permite usar esa CPU con una placa base que utilice la misma clave de firma en su código.

AMD-EPYC-7002-Platform-Secure-Processor

Lógicamente esto deja inutilizable cada CPU AMD EPYC fuera de esa plataforma, por lo que de instalarse en otra directamente bloqueará el sistema, dejándolo inutilizado hasta que se instale una nueva CPU con un código vinculante. En cambio, si la placa base es la que falla, sí podrá ser sustituida y la CPU volverá a realizar la vinculación con el nuevo código del OEM, pero al revés no funciona.

Además, si la CPU detecta que el firmware de la plataforma del servidor no está firmado por el mismo OEM, esta entenderá que hay manipulación y dejará de funcionar, y aquí está el problema.

No hay solución de momento al problema

AMD-EPYC-Server-Basic-Flow

Los clientes de AMD quieren la mayor seguridad, está claro, pero también quieren flexibilidad para poder sustituir componentes, ya sea por necesidad, error o fallo, o por ganar características o rendimiento, y AMD ofrece esto con grandes «peros», ya que la limitación existente obligaría a los OEM a no activar PSB, quedando más expuestos a posibles ataques.

Veremos cómo AMD soluciona este pequeño problema, algo que Intel no sufre porque directamente no han implementado un sistema de seguridad tan avanzado, así que cualquier Xeon puede instalarse en cualquier placa como pasa en el mercado gaming.