AMD在AGESA 1.2.7.0固件中移除消费级Ryzen处理器TSME支持

科技媒体 Ars Technica 于 6 月 16 日发布博文，报道称 AMD 在其最新的 AGESA 1.2.7.0 固件更新中，悄然移除了消费级 Ryzen 处理器对 TSME（Transparent Secure Memory Encryption）的支持。该变动目前尚未出现在官方变更日志中。

什么是TSME

TSME 全称为 Transparent Secure Memory Encryption，是一项嵌入在 AMD 处理器中的硬件级内存安全技术。它利用 CPU 芯片上的 AES 加解密引擎，自动对进出物理内存（DRAM）的所有数据进行透明加解密，从而保护数据免受物理接触或冷启动攻击。

TSME 通过 CPU 芯片上的 AES 加解密引擎，自动对进出物理内存（DRAM）的所有数据进行透明加解密，保护数据免受物理接触或冷启动攻击。

移除细节与影响

根据 Ars Technica 的报道，该调整出现在 AGESA 1.2.7.0 固件中，目前仅涉及消费级 Ryzen 系列处理器。AGESA 是 AMD 用于主板 UEFI 固件的底层初始化代码，其版本更新通常伴随功能调整或修复。

TSME 的移除意味着在默认状态下，消费级 Ryzen 处理器将不再自动提供该层次的透明加密保护。对于依赖该机制防范物理内存访问攻击的用户而言，系统安全性可能因此下降。目前 AMD 尚未就移除原因作出公开说明。

AMD确认TSME加密功能仅在PRO与EPYC系列处理器上受支持

Linux爱好者本·基尔帕特里克（Ben Kilpatrick）近期在排查系统安全状态时发现，其搭载Zen 5架构Ryzen 7 9700X处理器的主机在系统审计工具HSI中显示“加密内存：不支持”，而历史记录显示该功能曾处于启用状态。经过数月调查并联系主板制造商微星后，基尔帕特里克证实，AMD已正式通知微星，透明安全内存加密（TSME）功能仅在PRO系列及以上处理器上提供支持。

固件升级暴露功能限制

基尔帕特里克的排查显示，消费级Ryzen处理器在较旧的AGESA（AMD通用封装软件架构）固件下可以启用TSME，但在升级到AGESA 1.2.7.0版本后，该状态变为“不支持”。AGESA是AMD为主板固件提供的底层平台初始化代码，负责在系统启动时配置内存、处理器等核心硬件参数。

微星的营销团队告诉基尔帕特里克，AMD已正式通知他们，TSME仅在PRO系列处理器上受支持。

对照测试揭示硬件层面差异

微星技术支持人员在华硕X870E主板上进行了对照测试：分别搭载消费级Ryzen 9800X3D处理器和PRO系列Ryzen 9945处理器。在同一主板和同一BIOS设置下，PRO处理器的tsme_status值为1（表示TSME已启用），而消费级处理器的该值为0（表示TSME已关闭）。工程排查进一步发现，控制TSME功能的内部标志DfIsTsmeEnabled在消费级型号上返回FALSE，在PRO或EPYC型号上返回TRUE。

用户手动设置未必生效

由于TSME功能的判断出现在启动加载阶段，即便用户在BIOS中手动将选项设为开启，也可能不会真正生效。这意味着消费级Ryzen处理器用户无法通过固件升级或BIOS调整来重新激活TSME加密功能。

功能定义与市场影响

透明安全内存加密（TSME）是一种硬件级内存加密技术，旨在保护数据在内存中存储时免受物理攻击。与软件加密不同，TSME在数据写入内存前自动加密，读取时自动解密，对操作系统和应用程序透明。此前，该功能在部分消费级Ryzen处理器上可通过AGESA固件启用，但AMD此次明确将支持范围限定于面向工作站和服务器的PRO与EPYC系列。

• 硬件差异：TSME功能的内核标志DfIsTsmeEnabled在消费级与专业级处理器上返回不同值，表明该功能在芯片设计层面被区分。
• 固件影响：AGESA 1.2.7.0版本更新后，消费级Ryzen处理器对TSME的支持被移除，此前可启用的状态不再可用。
• 用户反馈：基尔帕特里克通过联系主板制造商并推动对照测试，才使这一差异被确认。该案例显示，普通用户可能难以自行判断功能是否实际启用。