Sebuah kerentanan keamanan yang signifikan telah diidentifikasi dalam prosesor generasi terbaru AMD, yang berpotensi membahayakan keamanan kriptografi untuk sistem yang menjalankan arsitektur Zen 5. Cacat ini memengaruhi generator angka acak berbasis perangkat keras, sehingga menimbulkan kekhawatiran mengenai perlindungan data di seluruh sistem konsumen dan perusahaan. AMD secara resmi telah mengakui masalah ini dan sedang menerapkan solusi berbasis firmware untuk mengatasi celah keamanan kritis ini.
 |
|---|
| Prosesor AMD EPYC, representasi dari perangkat keras yang berpotensi terdampak oleh kerentanan keamanan yang teridentifikasi |
Sifat Kerentanan RDSEED
AMD telah mengonfirmasi kerentanan keamanan dengan tingkat keparahan tinggi, yang ditetapkan sebagai AMD-SB-7055, yang memengaruhi instruksi RDSEED pada prosesor berbasis Zen 5-nya. Cacat di tingkat perangkat keras ini menyebabkan generator angka acak secara tidak benar melaporkan kegagalan sebagai operasi yang berhasil, khususnya ketika instruksi mengembalikan nilai nol. Masalah ini terutama berdampak pada versi RDSEED 16-bit dan 32-bit, sementara implementasi 64-bit tetap tidak terpengaruh. Perbedaan ini memberikan solusi sementara untuk sistem yang terdampak hingga perbaikan permanen disebarluaskan melalui pembaruan firmware.
Cakupan Teknis:
- Terpengaruh: Instruksi RDSEED 16-bit dan 32-bit
- Tidak Terpengaruh: Instruksi RDSEED 64-bit
- Dampak: Mengembalikan nilai 0 dengan flag sukses sekitar 10% dari waktu
- Tingkat Keparahan: Tinggi (AMD-SB-7055)
Bagaimana Cacat Keamanan Membahayakan Perlindungan Sistem
Instruksi RDSEED dirancang untuk menghasilkan angka yang benar-benar acak dengan mengumpulkan entropi dari faktor lingkungan fisik seperti noise termal dan variasi tegangan dalam prosesor. Angka acak ini membentuk fondasi kunci kriptografi yang digunakan untuk mengamankan data dan komunikasi. Ketika RDSEED gagal tetapi melaporkan keberhasilan dengan nilai nol yang dapat diprediksi, hal ini menciptakan skenario di mana kunci enkripsi menjadi berpotensi untuk ditebak. Hal ini merusak prinsip keamanan dasar bahwa kunci enkripsi harus benar-benar tidak terduga untuk mencegah akses tidak sah ke informasi yang dilindungi.
Penemuan dan Detail Teknis Cacat Tersebut
Kerentanan ini pertama kali ditemukan oleh insinyur Meta Gregory Price, yang merinci temuannya di milis kernel Linux pada pertengahan Oktober. Price menunjukkan bahwa dalam kondisi arsitektur tertentu, prosesor Zen 5 yang menjalankan RDSEED akan menghasilkan nilai nol dengan bendera keberhasilan sekitar 10% dari waktu. Insinyur tersebut dapat mereproduksi masalah ini secara andal dengan memberikan tekanan pada operasi RDSEED menggunakan satu thread CPU sementara thread lain mengonsumsi sekitar 90% memori sistem. Penemuan ini mendorong tindakan segera dari komunitas Linux, yang awalnya menerapkan patch yang menonaktifkan fungsionalitas RDSEED sepenuhnya pada prosesor Zen 5 sebagai tindakan keamanan sementara.
Keluarga Prosesor yang Terdampak dan Linimasa Mitigasi
Kerentanan keamanan ini memengaruhi seluruh jajaran prosesor Zen 5 AMD, termasuk seri Ryzen 9000 yang baru diluncurkan untuk komputer desktop, seri Ryzen AI 300 untuk laptop yang mendukung AI, seri Threadripper 9000 untuk workstation kelas atas, dan seri EPYC 9005 untuk lingkungan server. AMD telah mulai menerapkan mitigasi untuk prosesor server EPYC 9005, sementara chip yang berfokus pada konsumen termasuk seri Ryzen 9000 dijadwalkan akan menerima perbaikan mulai 25 November 2024. Peluncuran mitigasi lengkap diperkirakan akan berlanjut hingga Januari 2026, tergantung pada model CPU spesifik dan konfigurasi sistem.
Jadwal Mitigasi:
- Seri EPYC 9005: Perbaikan sudah mulai diluncurkan
- Chip Zen 5 konsumen (Ryzen 9000, AI 300, Threadripper 9000): Dimulai 25 November 2024
- Peluncuran mitigasi lengkap: Hingga Januari 2026
Konteks Historis dan Strategi Tanggapan AMD
Ini bukanlah insiden pertama masalah terkait RDSEED yang memengaruhi prosesor AMD. APU berbasis Zen 2 perusahaan, dengan kode nama Cyan Skillfish, sebelumnya mengalami kegagalan RDSEED yang berbeda yang juga memerlukan solusi di tingkat kernel Linux. Untuk kerentanan Zen 5 saat ini, AMD menangani masalah ini melalui pembaruan firmware AGESA, yang akan didistribusikan melalui produsen motherboard dan vendor sistem. Perusahaan merekomendasikan agar pengguna sementara beralih ke versi RDSEED 64-bit yang tidak terdampak atau menerapkan solusi fallback berbasis perangkat lunak hingga pembaruan firmware tersedia untuk sistem spesifik mereka.
Keluarga Prosesor AMD Zen 5 yang Terpengaruh:
- EPYC 9005 Series (Server)
- Ryzen 9000 Series (Desktop)
- Ryzen 9000HX Series (Mobile)
- Ryzen AI 300 Series
- Ryzen AI Z2 Extreme
- Ryzen AI Max 300 Series
- Threadripper 9000 Series
- Threadripper PRO 9000 WX-Series
- Ryzen Z2 Series Processors Extreme
- EPYC Embedded 4005, 9005, dan 9000 Series
Implikasi yang Lebih Luas untuk Keamanan Sistem
Penemuan kerentanan ini menyoroti pentingnya keamanan di tingkat perangkat keras dalam sistem komputasi modern. Seiring perlindungan kriptografi menjadi semakin fundamental bagi keamanan data di semua domain komputasi, dari perangkat pribadi hingga infrastruktur cloud, generasi angka acak yang andal tetap menjadi landasan kepercayaan dalam sistem digital. Meskipun solusi perangkat lunak dan pembaruan firmware dapat mengurangi risiko langsung, insiden ini menggarisbawahi tantangan berkelanjutan untuk memastikan keamanan perangkat keras dalam arsitektur prosesor yang semakin kompleks.