A ServeTheHome nemrég publikált egy videót a YouTube-ra, amelyben részletezték, hogy az egyes szervergyártók magukhoz láncolják az AMD EPYC CPU-kat. Maga a jelenség már régóta feltűnt, csak a magyarázata nem volt publikus formában világos, ugyanakkor az említett média még 2018-ban tesztelte a Dell EMC PowerEdge R7415-ös szervert, amelyben használtak egy AMD EPYC 7251-es CPU-t, és azután utóbbi termék nem volt hajlandó más gyártó alaplapjában működni.
Nemrég a Dell EMC PowerEdge C6525 került górcső alá, ahol eleve ki volt emelve, hogy gyártóhoz kötöttek a processzorok, így a ServeTheHome utánajárt, hogy miről is van szó, mivel olyan tévhit is van, hogy a Dell szerverek valamit elrontanak az EPYC CPU-kban, azért nem működnek ezek tovább más gyártó termékeiben.
A valóság az, hogy a fenti jelenség nem hiba, hanem szolgáltatás. Az AMD a ServeTheHome kérdéseire válaszolva elmondta, hogy gyárilag minden EPYC processzor úgymond feloldott formában érkezik, vagyis bármilyen rendszeren belül használható. Ugyanakkor vannak bennük olyan biztosítékok (eFuse), amelyek egyszer programozhatók, vagyis egy adott, Platform Secure Boot funkciót támogató szerver megteheti azt, hogy az első bekapcsolás pillanatában beleégeti a CPU-ba az adott OEM a titkos kulcsából generált nyilvános aláírókulcsát. Amint ezt megteszi, az adott processzor többet nem lesz használható más gyártó szerverében.
Maga a funkció azért fontos a szervergyártóknak, mert ilyen formában egy rendkívül megbízható védelmet kapnak a platform firmware-t manipuláló malware-ek ellen, legyen szó lokális vagy távoli hozzáférési formában végrehajtott támadásról. A lényeg annyi, hogy egy aláírókulccsal már ellátott processzor nem fog bootolni egy módosított, feltételezhetően kártékony kóddal ellátott firmware mellett, azaz maga a bootolás csak akkor megy végbe, ha a platform firmware biztosan a szerver gyártójától származik.
Az AMD tehát a Platform Secure Boot funkcióval egy vásárlói igényt fed le, ugyanis sok cég számára rendkívül fontos a biztonságos működés, és a fentebb részletezett működéssel a felhúzott védvonal minden korábbi opciónál jóval erősebb.
A Dell EMC lényegében ezt a megoldást alkalmazza a saját, Platform Secure Boot funkciót támogató gépeinél, vagyis reagálnak arra a piaci igényre, ami a biztonság érdekében keletkezett. Érdekesség, hogy a HPE is használ hasonló megoldást, de a saját Platform Secure Boot szervereik máshogy dolgoznak. A ServeTheHome számára adott nyilatkozatuk szerint a védelmük hasonlóan erős a Dell EMC-hez, viszont feloldott formában tartják az EPYC processzorokat, vagyis használhatók maradnak más szerverekben is. Ezt úgy érik el, hogy a saját Baseboard Management Controller lapkájukat használják ellenőrzési célra, így nem kell a felhasznált EPYC CPU-kat HPE szerverekhez kötni. Mindemellett nincs elég adat ahhoz, hogy összehasonlítható legyen a HPE és a Dell EMC megoldása, vagyis lehet, hogy előbbi cégnek igaza van abban, hogy hasonló szintű biztonságot ad a rendszerük, de az is lehet, hogy nem.
Az egész igazából addig nem gond, amíg a vásárlók nem akarnak megválni a használt processzoraiktól. A rendszer gyorsítása, vagyis új CPU-k vásárlása során viszont több probléma keletkezik. Ha ugyanis az eladni kívánt CPU-k biztosítékai át lettek programozva, akkor ezek a termékek csak az első indításkori módosítást elvégző gyártó szervereiben működnek tovább. Ez elég nagy gond lesz a használt szerverpiaci termékekkel üzletelők számára, hiszen (bár talán nem túl ismert) ez a piac azért elég nagy. Sokszor csupán pár hónapig használt, szinte új CPU-k is megvásárolhatók, nem véletlen, hogy a szervereknél a használt piaci kereskedelem egy jól jövedelmező üzletággá válhatott mára. Ha viszont a fentiekről egy viszonteladó nem tud, akkor az komoly kellemetlenséget eredményezhet.
Mindazonáltal maga a Platform Secure Boot funkció lényeges, tehát nem véletlenül került ez bele az EPYC processzorokba, és láthatóan mindenki ebbe az irányba tart, csak lassabban látták meg az erősebb biztonságra vonatkozó piaci igényeket az AMD-nél. A használt piac tekintetében viszont a megnövelt biztonságnak ára van, és többek között a viszonteladóknak oda kell figyelnie arra, hogy milyen processzort vesznek mostantól át az eredeti tulajdonostól, hiszen esetlegesen azokat nem lehet majd bárkinek eladni.
