AMD悄然取消消费级CPU内存加密功能，用户强烈不满

十年前，AMD为其高端CPU添加了一项名为透明安全内存加密（TSME）的保护机制，用于抵御冷启动攻击及其他通过物理手段从内存芯片中窃取敏感数据的攻击方式。TSME能够对内存中存储的全部数据进行加密，使物理攻击者无法读取其中内容。

随着时间推移，AMD逐步将TSME功能引入低端处理器，包括面向消费者的Ryzen系列芯片——其售价低于Pro版本。多年来，这些低端芯片的用户已习惯于享有这一额外的安全保障。然而近期，这条低端产品线突然在毫无警告或通知的情况下取消了该保护功能，且取消方式极为隐蔽：在Windows系统上几乎无从察觉，在Linux系统上也需要相当繁琐的技术操作才能发现。

对此，AMD至今未就TSME曾在这些CPU上正常运作作出任何解释，甚至未正式确认这一变更的存在。AMD拒绝回答通过电子邮件提出的相关问题，仅表示TSME"是AMD PRO技术体系的一部分，仅适用于PRO系列CPU"。这也是该公司首次公开明确表明这一限制政策。

今年4月，自称"注重隐私的Linux爱好者"的Ben Kilpatrick正在其搭载Zen 5架构Ryzen 7 9700X处理器的机器上安装新操作系统。为确认所有安全防护均已启用，他运行了主机安全标识（HSI）——一项用于评估固件与硬件安全配置的审计功能。

令他意外的是，HSI显示TSME已不再可用，如下方截图底部附近"encrypted RAM: not supported"（加密内存：不支持）一行所示。再往下几行，HSI还显示此前TSME曾被标记为"encrypted"（已加密）。这让Kilpatrick感到困惑，因为他一直在BIOS设置中启用了TSME。

这一发现促使Kilpatrick展开了长达数月的调查。他先后向主板制造商微星（MSI）的支持团队和工程团队发送了问询，最终说服该公司工程师进行了测试。

测试结果显示：在MSI和技嘉（Gigabyte）主板上运行的消费版Ryzen处理器，若使用AMD通用封装软件架构（AGESA）旧版固件进行引导，TSME能够正常启用；而一旦换用较新版本的AGESA固件（具体为1.2.7.0版本），TSME便会显示为"不支持"。相比之下，Ryzen Pro版本在上述两款主板及两个AGESA版本中均能正常支持TSME。

"目前最关键的悬而未决的问题是：AMD究竟是有意将TSME限制在PRO芯片上，还是在AGESA 1.2.7.0版本中无意引入了功能回退？"Kilpatrick在接受Ars采访时表示。他进一步解释道：

"这一区别至关重要。如果是有意为之，意味着AMD主动决定从消费级硬件中移除一项已正常运作的功能，并将其限制为企业级客户专属。如果是意外回退，则属于固件缺陷，AMD理应予以修复。无论哪种情况，硬件本身的能力是存在的，变更发生在AGESA层面，而AMD也同样拒绝作出解释。但这两种情形对于事件真相的指向截然不同。"

作为调查的一部分，Kilpatrick在AMD公开的工程GitHub仓库中提交了一份缺陷报告，随后有两位AMD工程师直接参与了回应。

AMD资深软件工程师Tom Lendacky回复称，他不清楚此次变更的原因，并建议用户尝试在BIOS中先禁用再重新启用该选项。他表示："如果这样做没有效果，我的猜测是这属于BIOS问题，建议联系MSI。"（正是这一建议促使Kilpatrick说服MSI工程师进行了前述测试。）

AMD高级首席软件工程师、fwupd版HSI维护者Mario Limonciello随后也加入讨论，同样建议先在BIOS中关闭再重新开启该选项。他表示："如果仍然无效，请将问题反馈给主板厂商进行排查。"

Q&A

Q1：TSME是什么？它在AMD消费级CPU中起到什么作用？

A：TSME全称为透明安全内存加密，是AMD为处理器引入的一项安全机制。它能够对内存中存储的全部数据进行自动加密，即使攻击者通过冷启动攻击等物理手段接触到内存芯片，也无法读取其中的有效数据。多年来，该功能不仅存在于AMD高端及Pro系列处理器中，也覆盖了面向普通消费者的Ryzen芯片，为用户提供了额外的数据安全保障。

Q2：AMD消费级Ryzen CPU的TSME功能是从什么时候开始消失的？

A：根据用户Ben Kilpatrick的调查，TSME功能的消失与AMD的AGESA固件版本更新有关。当主板采用较旧版本的AGESA固件时，消费版Ryzen处理器的TSME可以正常启用；而升级至AGESA 1.2.7.0版本后，TSME便显示为"不支持"。这一变化在Windows系统上几乎无法察觉，仅在Linux系统中通过专业工具才能发现。

Q3：AMD官方对消费级CPU取消TSME一事给出了什么解释？

A：AMD官方目前未正式确认这一变更，也未解释TSME为何曾在消费级CPU上可用。AMD仅回应称，TSME是AMD PRO技术的一部分，仅适用于PRO系列CPU。两位参与GitHub缺陷报告讨论的AMD工程师均表示不清楚变更原因，并将问题引导至主板厂商层面处理，并未给出明确答复。