AMD desativa criptografia de memória em CPUs Ryzen de consumo: segurança contra cold boot e snooping fica comprometida

A AMD não apenas desativou o TSME em CPUs Ryzen de consumo, ela reescreveu, no firmware, a política de proteção física da memória. O flag DfIsTsmeEnabled agora é forçado como FALSE em todas as SKUs não-PRO, mesmo quando o usuário ativa a opção no BIOS. Isso significa que a criptografia transparente da RAM não é 'desligada por acidente': é bloqueada na inicialização, antes do sistema operacional carregar. O efeito prático é a perda total de defesa contra cold boot (ataques que extraem chaves de criptografia após reinício forçado), espionagem direta no barramento de memória (DRAM snooping) e clonagem de módulos físicos, ameaças reais em ambientes com acesso físico não controlado, como notebooks em aeroportos ou estações de trabalho compartilhadas.

O TSME não depende do sistema operacional: ele opera no nível do firmware, com chave gerada no próprio processador. Sua remoção afeta diretamente quem usa BitLocker com TPM 2.0, LUKS2 com TOTP + memory encryption ou até sistemas de desktop seguro baseados em Qubes OS. Sem TSME, o Windows só pode confiar em SME (que exige suporte do kernel e não protege toda a RAM), e o Linux precisa de configurações manuais complexas, e ainda assim com cobertura parcial.

Essa mudança não é técnica, é estratégica. A AMD está segregando segurança de hardware por segmento de mercado, não por capacidade do silício. O mesmo chip (ex: Ryzen 9800X3D) tem a mesma unidade de criptografia que o 9945 PRO, mas o firmware impede seu uso. Para empresas que adotam Ryzen em estações de trabalho críticas, bancos, escritórios de advocacia, órgãos públicos, isso cria um risco não declarado: equipamentos que parecem seguros, mas não são. E pior: sem aviso, sem documentação, sem correção. Em um cenário onde ataques físicos estão cada vez mais acessíveis (ex: ferramentas como Thunderspy e PCILeech), remover uma camada de proteção que já estava funcionando é retrocesso real, não otimização.