AMD已确认其最新Zen 5架构处理器存在RDSEED指令失效问题,这是其硬件随机数生成器中的一个关键安全漏洞。该公司承认该缺陷可能导致随机数生成器产生的密钥不具备完全不可预测性,从而给用户带来安全风险。
该漏洞被AMD编号为“AMD-SB-7055”并归类为高危级别。修复方案将根据CPU运行模式分阶段推出,持续至2026年1月。例如AMD已为EPYC 9005系列处理器部署修复程序,而面向消费级Zen 5芯片(包括锐龙9000系列、AI Max 300系列、线程撕裂者9000系列和锐龙Z2系列)的修复方案将于11月25日发布。
该故障具体表现为Zen 5芯片的RDSEED指令会以非随机方式返回“0”值,却错误地将失败信号报告为成功。受影响的包括16位和32位格式的RDSEED指令,而64位版本据称未受影响——AMD未说明具体原因。
这对依赖RDSEED随机数生成能力的加密应用至关重要。若RDSEED失效,使用该指令的应用可能因生成可预测字符模式而面临攻击风险。
RDSEED是现代处理器(包括英特尔芯片)配备的两大随机密钥生成系统之一。作为真随机数生成器,它通过采集环境熵值将随机比特模式存入CPU寄存器。RDRAND速度更快但采用确定性随机数生成器,其随机模式可能更具可预测性。
该问题最初由Meta工程师在Linux内核邮件列表中发现(Phoronix于十月中旬报道)。不仅与AMD确认的问题一致,研究者还通过一个CPU线程持续调用RDSEED,同时另一个线程“持续占用约90%内存”的方式实现了稳定复现。数日后更新的Linux补丁已全面禁用Zen 5芯片的RDSEED功能以阻断安全漏洞。
这并非基于Zen架构的处理器首次出现RDSEED问题。采用Zen 2架构的AMD嵌入式处理器Cyan Skillfish也曾遭遇类似(但不同)的RDSEED故障,同样迫使Linux社区禁用该系列芯片的RDSEED功能。
所幸AMD将很快发布AGESA微码更新以修复所有Zen 5处理器的此问题。在尚未获得修复的芯片上,AMD建议用户切换至未受影响的64位格式RDSEED指令或改用软件备用方案。
