AMD heeft zijn standpunt gewijzigd. Na meerdere dagen van kritiek op de stille verwijdering van memory encryption TSME bij bepaalde consumenten Ryzen-processors, heeft het bedrijf bevestigd dat het de Memory Guard-optie, ook bekend als Transparent Secure Memory Encryption, zal herstellen in bepaalde Ryzen 9000 desktopmodellen zonder PRO-label via een BIOS-update in juli.
De controverse ontstond niet alleen door het wegnemen van een beveiligingsfunctie, maar vooral door de manier waarop dat gebeurde: de optie bleef zichtbaar in sommige BIOS versies alsof deze ingeschakeld kon worden, terwijl het systeem de geheugenversleuteling niet daadwerkelijk activeerde. Voor de gemiddelde gebruiker kon dat onopgemerkt blijven. Voor experts die de beveiligingsinstellingen van hun systeem controleren, vooral onder Linux, was het duidelijk dat er iets was veranderd.
Wat is TSME en waarom is het belangrijk?
TSME staat voor Transparent Secure Memory Encryption, een hardwaregebaseerde encryptietechnologie die de inhoud van het RAM versleutelt om gegevens te beschermen tegen fysieke aanvallen zoals cold boot attacks, directe geheugenlezingen of het verwijderen van geheugermodules. AMD biedt deze functie onder de noemer AMD Memory Guard in zijn professionele assortiment.
De documentatie van AMD beschrijft Memory Guard als een extra beveiligingslaag die het risico op fysieke aanvallen op het geheugen moet verminderen, inclusief aanvallen bij het opstarten, het uitlezen van DRAM of het verwijderen van modules. De technologie gebruikt AES-motoren geïntegreerd in de geheugencontroller van de processor, met een sleutelsysteem dat bij elke herstart wordt gegenereerd en beheerd door de AMD Secure Processor.
| Concept | Uitleg |
|---|---|
| TSME | Transparent Secure Memory Encryption |
| Verkoopnaam | AMD Memory Guard |
| Doel | Onzichtbaar de inhoud van het RAM versleutelen |
| Bedreigingen verminderd | Cold boot-aanvallen, geheugenextrahering, fysieke leestaken |
| Activering | Meestal via BIOS/UEFI, indien de moederbordfabrikant en BIOS dit ondersteunen |
| Gebruikservaring | AMD stelt dat het nauwelijks merkbaar is op compatibele systemen |
Het is geen functie die de dagelijkse veiligheid van de meeste consumenten-PC’s beïnvloedt. Een aanvaller heeft fysiek toegang tot het systeem of de geheugermodules nodig om ervan gebruik te maken. Maar dat betekent niet dat het irrelevant is. In laptops, werkstations, laboratoria, Linux-omgevingen, onderzoeksfaciliteiten of bij gevoelige gegevens kan geheugenversleuteling onderdeel zijn van een gelaagde verdediging, samen met schijfversleuteling, TPM, authenticatie en goede beveiligingspraktijken.
Het grote punt van irritatie was de manier waarop het gebeurde: als een kenmerk beschikbaar is op silicon en jarenlang zichtbaar was in bepaalde platformen, dan is het verwijderen via firmware zonder duidelijke uitleg verontrustend. Zeker als de optie nog zichtbaar bleef in BIOS, wat de indruk kon wekken dat de beveiliging actief was.
De verwijdering kwam met AGESA 1.2.7.0
Volgens informatie van Tom’s Hardware en Ars Technica werd de verwijdering opgemerkt na een firmware-update gebaseerd op AGESA 1.2.7.0, de kerncomponent die AMD aan moederbordfabrikanten levert om BIOS te bouwen. Het viel op toen Ben Kilpatrick een veiligheidscontrole uitvoerde op een systeem met een Ryzen 7 9700X en ontdekte dat TSME niet meer werd vermeld als ondersteund, terwijl het daarvoor wel beschikbaar was.
Nader onderzoek toonde aan dat de wijziging niet te wijten was aan een fysieke beperking, maar een besluit op firmware-niveau was. AMD’s Ryzen PRO-processors hielden Memory Guard wel aan, terwijl bepaalde Ryzen 9000-consumentmodellen de functie niet meer toonden. Dit voedde de geruchten dat AMD deze mogelijkheid via software was gaan reserveren voor de professionele lijn.
| Aspect | Situatieomschrijving |
| Gepaste processors | Sommige consumenten-Ryzen, vooral Ryzen 9000 zonder PRO-label voor desktop |
| Firmwareversie | AGESA 1.2.7.0 |
| Hoofdkenmerk | BIOS toont de optie, maar TSME wordt niet geactiveerd |
| Professioneel aanbod | AMD behoudt Memory Guard in Ryzen PRO zolang de silicon dit ondersteunt |
| Reactie van AMD | Herstellen van de optie in bepaalde Ryzen 9000 modellen zonder PRO in juli |
De aanvankelijke reactie van AMD hielp niet bij het verminderen van de onrust. Op een openbaar platform zoals GitHub meldden communityleden het probleem, waarna een AMD-engineer antwoordde dat er geen extra informatie beschikbaar was. Zonder duidelijke verklaring ontstonden geruchten over een bug, commerciële besluitvorming of een opzettelijke beperking van een functie die door gebruikers als waardevol werd beschouwd.
AMD heeft inmiddels aan Tom’s Hardware bevestigd dat de optie in een BIOS-update in juli terug zal keren, gebaseerd op de feedback van de gemeenschap. Deze uitspraak lost het directe probleem op, maar laat nog enkele vragen open.
Een belangrijke, maar onvolledige rectificatie
Het terugbrengen van TSME op bepaalde Ryzen 9000 modellen zonder PRO is een positieve stap. Het voorkomt dat een beveiligingsfunctie onterecht verdwijnt door een firmware-update en erkent dat de community redenen had voor protest. Maar AMD heeft niet transparant uitgelegd waarom de optie was verwijderd, waarom deze zichtbaar bleef in BIOS zonder actieve werking, en wat er voor andere Ryzen-generaties gaat gebeuren.
De verklaring van AMD is zeer bondig. Het bedrijf bevestigt dat Memory Guard een hardwaregebaseerde geheugenversleuteltechnologie is die beschikbaar is op Ryzen PRO-processors voor desktop en mobiel, afhankelijk van de silicon. Er worden geen plannen aangekondigd om de ondersteuning voor de PRO-serie te beëindigen. Voor sommige Ryzen 9000 zonder PRO geeft AMD toe dat de optie eerder beschikbaar was, recent werd verwijderd, en in juli terugkomt.
| Openstaande vragen | Waarom is het belangrijk? |
| Waarom werd TSME verwijderd? | Maakt duidelijk of het een fout, zakelijke beslissing of beleidswijziging was |
| Waarom bleef de BIOS-optie zichtbaar? | Kan een valse veiligheidssgevoel geven | Voor welke modellen komt het terug? | Gebruikers willen weten of hun CPU wordt ondersteund |
| En Ryzen 7000 of oudere generaties? | De rectificatie noemt alleen bepaalde Ryzen 9000 |
| Hoe kan het gecontroleerd worden in Windows? | Linux biedt simpele controle, Windows is niet altijd duidelijk voor niet-experts |
| Is het afhankelijk van de fabrikant van het moederbord? | BIOS-updates verlopen op verschillende schema’s |
Voor een bedrijf dat veiligheid als kernwaarde promoot, is transparantie bijna even belangrijk als de functie zelf. Als een firmware-update een beschermingsfunctie kan uitschakelen zonder duidelijke communicatie, verliest de geavanceerde gebruiker controle. Als de BIOS-instellingen niet het werkelijke systeemstatus weergeven, wordt het probleem meer dan alleen communicatieverlies; het raakt het vertrouwen in technische integriteit.
Firmwareveiligheid en productsegmentatie
Deze situatie zet ook een breder debat in de verf over de controle die fabrikanten via firmware uitoefenen. Moderne processoren zijn geen statische hardware: ze functioneren afhankelijk van microcode, AGESA, BIOS, PSP, systeeminstellingen en verificatietools. Een functie kan op silicon aanwezig zijn, maar door firmware worden beperkt of gedeactiveerd.
Dat is niet per definitie negatief. Firmware corrigeert bugs, voegt compatibiliteit toe, verbetert stabiliteit en pakt kwetsbaarheden aan. Probleem wordt het wanneer functionaliteiten zonder heldere uitleg worden verwijderd of beperkt, vooral op het gebied van beveiliging. Gebruikers kopen hun hardware met verwachtingen, die door updates kunnen veranderen.
Productsegmentatie tussen consumenten- en professionele lijnen is gebruikelijk binnen de industrie. Fabrikanten reserveren functies voor beheer, ondersteuning, veiligheid en garantie voor PRO-, vPro-, werkstation- of servermodellen. Als dat vooraf duidelijk wordt gecommuniceerd, is er weinig bezwaar. Maar dat een functie die in consumentenproducten beschikbaar is, later zonder uitleg verdwijnt, roept controverse op.
TSME is niet zomaar een marketingtool. Het heeft direct betrekking op fysieke geheugenbeveiliging. Voor sommige gebruikers is het een reden om voor een bepaald platform te kiezen of hun systeem anders in te stellen. Daarom was AMD’s koerswijziging noodzakelijk.
Wat moeten Ryzen-gebruikers doen?
Gebruikers met een Ryzen 9000 desktop zonder PRO-label die geïnteresseerd zijn in TSME, moeten wachten op de BIOS-updates in juli, mits hun model en moederbord daar compatibel mee zijn. AMD levert AGESA, maar elk moederbordfabrikant moet zijn eigen BIOS uitbrengen. Hierdoor kunnen de updates per fabrikant verschillen, bijvoorbeeld tussen ASUS, MSI, Gigabyte of ASRock.
Wie al de BIOS-versie met AGESA 1.2.7.0 heeft en afhankelijk is van TSME, wordt aangeraden om de daadwerkelijke status te controleren in het besturingssysteem in plaats van alleen op BIOS-menu te vertrouwen. Onder Linux is heel simpel te zien of encryptie wordt ondersteund en actief is; onder Windows is dat minder transparant voor niet-experts.
| Gebruikersprofiel | Praktische aanbeveling |
| Algemeen thuisgebruikers zonder speciale beveiligingsbehoefte | Geen dringende actie, maar blijf BIOS up-to-date houden |
| Linux-gevorderde gebruikers | Controleer ondersteuning actief in systeem, niet alleen BIOS |
| Systeem met gevoelige data | Wacht op gecorrigeerde BIOS en controleer TSME na update |
| Bedrijven of laboratoria | Documenteer BIOS-versie, AGESA en encryptiestatus |
| Nieuwe koper | Controleer Memory Guard/TSME-ondersteuning voor aankoop |
Het is ook verstandig om vooraf de BIOS-notities te lezen voordat je een update uitvoert. Als er in de documentatie niet wordt verwezen naar AGESA, TSME of Memory Guard, kan het beste even wachten op een nieuwe BIOS-versie of contact opnemen met de support van de fabrikant. Firmware-updates brengen operationele risico’s met zich mee: zorg voor een stabiele stroomvoorziening, bewaar je instellingen en onderbreek het updateproces niet.
De technische community onder druk
De geschiedenis bewijst dat de rol van veilige tests en controle door gebruikers effectief is. Een groep ervaren gebruikers controleerde hun systeem, stelde een verschil vast, documenteerde het en bracht het onder de aandacht van de fabrikant. Hierdoor kwam AMD in actie. Zonder die druk was de stille verwijdering misschien onopgemerkt gebleven.
Het waarschuwt ook dat beveiligingsfuncties niet afhankelijk zouden moeten zijn van het ontdekken door de community dat er veranderingen plaatsvonden. Als een fabrikant een capaciteit beperkt, wijzigt of verwijdert zonder volledige uitleg, dan moet dat duidelijk gecommuniceerd worden: wat verandert, voor welke modellen, waarom en hoe controleer je dat als gebruiker?
AMD heeft goed gehandeld door TSME op bepaalde Ryzen 9000 zonder PRO opnieuw te introduceren. Wat nog overblijft, is de belangrijkste stap: transparantie bieden over de oorspronkelijke beslissing en de exacte reikwijdte van de terugkeer. In beveiliging is snel corrigeren cruciaal, maar goede communicatie is bijna even belangrijk.
Veelgestelde vragen
Wat heeft AMD aangekondigd over TSME?
AMD bevestigt dat het de Memory Guard/TSME-optie in bepaalde Ryzen 9000 desktop-processors zonder PRO via een BIOS-update in juli zal herstellen.
Wat is TSME?
TSME (Transparent Secure Memory Encryption) is een hardwarematige geheugencoderingstechnologie die fysieke aanvallen zoals cold boot attacks en direct geheugen uitlezen moet afweren.
Heeft het invloed op alle Ryzen?
Niet helemaal duidelijk. AMD spreekt specifiek over bepaalde Ryzen 9000 modellen zonder PRO. Het is nog niet bevestigd of deze functionaliteit wordt uitgebreid naar andere generaties of mobiele Ryzen-processors.
Waarom was de verwijdering controversieel?
Omdat de BIOS-optie bleef verschijnen terwijl versleuteling niet actief was, en omdat de wijziging via firmware zonder duidelijke uitleg werd doorgevoerd.