欧洲建造主权云以摆脱美国控制，却忘记了处理器

# 欧洲建起主权云以摆脱美国控制，却忘了处理器 来源：https://www.theregister.com/systems/2026/05/16/europe-built-sovereign-clouds-to-escape-us-control-then-forgot-about-the-processors/5237735 系统 Intel ME 和 AMD PSP：无人认证的硅层 特写数字主权能在美国硅片上实现吗？ 欧洲正投入超过20亿欧元用于主权云计划，旨在减少对美国法律管辖的暴露。欧盟的IPCEI-CIS项目资助基础设施建设。法国在SecNumCloud框架下对运营商进行资格认证，该框架包含近1200项技术要求，承诺“免受域外法律管辖”。 但大多数数据中心和合格云运营商仍然严重依赖Intel或AMD处理器。而这些处理器内部隐藏着一台位于计算机之下的计算机：管理引擎运行在Ring -3级别，低于操作系统，不受主机安全软件控制，即使机器看似关机也持续运行。根据美国2024年《改革情报与保障美国法案》(RISAA)，硬件制造商被视为“电子通信服务提供商”，须服从秘密政府命令。 欧洲的框架认证了云。它们没有评估硅片。 ### 你的操作系统看不见的那台计算机 计算机底下那台计算机有名字。在Intel处理器上，它被称为管理引擎(ME)，更确切地说是融合安全与管理引擎(CSME)。在AMD上，它被称为平台安全处理器(PSP)。两者都运行在安全研究人员所说的Ring -3级别，低于操作系统，低于虚拟机监视器，处于主机无法看见或记录的权限级别。 “它是你计算机内部的一台计算机，”英国数字安全设计计划(投资2亿英镑)前主任、计算机架构学教授John Goodacre解释道。他明确说明了这在实践中意味着什么。ME拥有自己的内存、自己的时钟和自己的网络栈，并且由于它可以共享主机的MAC和IP地址，它生成的任何流量在防火墙上都与主机自身的流量无法区分。 该架构并非理论上的。CSME嵌入在平台控制器中枢中，是一个独立微控制器，独立于主机运行，拥有主机操作系统无法监控的直接内存、设备访问和网络连接。AMD的PSP以相同方式工作。 Intel的主动管理技术(AMT)——ME所启用的远程管理功能——在已配置设备上至少暴露TCP端口16992、16993、16994和16995。Goodacre指出，未配置的硬件上也存在攻击面。这些端口为远程管理设备群的IT管理员提供键盘-视频-鼠标重定向、存储重定向、串行-over-LAN和电源控制。该功能有合法用途。但它也提供了一个运行在低于欧洲主权框架可证明层面的通道。 微软在2017年记录显示，PLATINUM国家行为者利用Intel的串行-over-LAN(SOL)作为隐蔽外泄渠道。SOL流量经过管理引擎和NIC边带路径，在主机TCP/IP栈运行之前交付给ME。主机防火墙和端点检测什么也没看到，而在被攻破机器上运行的任何安全工具也同样是盲目的。PLATINUM并未利用漏洞。它利用的是一个功能，仅需AMT已启用且凭据已获取即可。在已记录案例中，那些凭据是出厂默认值：admin，无密码。 Goodacre在为企业首席信息安全官评估连接公司网络的Intel vPro硬件而准备的一份37页风险评估中，列举了此场景及相关场景。其结论直言不讳：将未受ME干涉的设备连接到企业资源“会使组织暴露于一种完全击败主机安全栈的攻击类别中”。 ME并不会在机器看似关机时停止。用户认识这个症状：一台关机并存放数周的笔记本电脑，下次启动时发现电池耗尽。在现代轻薄平台上，微软记录的Modern Standby意味着“关机”并不对应“所有子系统断电”。管理引擎运行的片上系统组件保持在低功耗状态，足以在数周内耗尽55 Wh电池，持续功耗约为100-200毫瓦。 该影响在Goodacre的风险评估中有记录：“无线射频是否处于Wake-on-Wireless-LAN监听状态是固件策略。对于在供应链运输过程中固件已被篡改的设备，无法从可见电源状态推断出答案。”一台看似关闭、放在包里的笔记本电脑，可以在用户不知情的情况下关联到敌意网络。 EURECOM（法国工程学院）安全研究员Aurélien Francillon教授多年专门研究此类问题。他与同事合作，在硬盘驱动器固件中构建了一个功能完备的后门，这是一个概念验证，演示了存储设备如何通过隐蔽通道静默外泄数据。在学术会议上展示后三个月，斯诺登披露揭示了NSA的ANT目录，其中记录了已在实地部署的相同能力。 “NSA已经在这么做了，”Francillon直言，“相当惊人。”这一背景影响了他对ME的评估。“是的，它很可能被用作后门，就像许多其他东西一样，包括BMC（基板管理控制器）和许多其他固件。”他认为，问题不在于后门是否存在，而在于操作控制是否使其在实践中无法触及。 AMD面临相同的架构问题。2026年4月14日，研究人员演示了针对AMD SEV-SNP机密计算技术的Fabricked攻击，以纯软件漏洞实现了100%的成功率。平台安全处理器被证明易受同类攻击。 在服务器硬件上，情况相同。Intel ME在服务器上以不同名称运行：服务器平台服务(SPS)，而BMC（数据中心硬件中标准的远程管理控制器）依赖它。“差不多相同，”Francillon谈到服务器版本时说。对于数据中心运营商，他进一步聚焦：“如果我看云系统、服务器，我会更担心BMC，”他指出已发表的研究展示了BMC漏洞的远程利用，可使攻击者重新安装或完全入侵服务器。BMC并非与ME无关的问题：在服务器硬件上，它是进入SPS的主要网络入口点，因此既是最暴露的接口，也是最关键的。 Intel和AMD处理器都包含在操作系统之下运行的管理引擎。这些硅片由美国公司设计，并受美国法律程序约束。 ### CLOUD法案未使用的后门 该法律程序具有大多数欧洲政策制定者低估的效力。2018年通过的CLOUD法案赋予美国当局对美国公司所持数据的域外管辖权。FISA第702条允许情报机构强制美国公民和公司提供通信访问权限。两者在欧洲主权讨论中广为人知。它们通过前门运作：向控制数据的公司送达法律命令。较少人知道的是2024年的RISAA，该法律打开了一个完全不同的入口。 RISAA修订了FISA中“电子通信服务提供商”的定义，其范围超越了云运营商和平台公司，也超越了欧洲政策制定者围绕其构建法律防御的双边协议。硬件制造商现在被纳入范围。Intel和AMD可以通过带有禁言条款的秘密命令被强制与美国情报访问合作。 该访问得以行使的机制是管理引擎：一个持久的、有特权的、网络连接的运行时环境，运行低于主机操作系统所能看见或阻止的任何东西。SecNumCloud认证的运营商可以在法律上与美国数据要求隔离。其服务器内部的处理器则不能。“实际上，你有一个政策机制，通过该机制，任何地方的任何此类机器都可以提供其任何信息，”Goodacre说。 RISAA的两年期限于2026年4月20日到期，但国会在辩论改革期间将其延长了45天。无论它是否续期、修订或任其失效，它所针对的架构不会改变。 ### SecNumCloud的盲点 法国的SecNumCloud是欧洲最严格的尝试，旨在构建一个在法律上对美国法律免疫的云认证。它并非凭空而来。法国国家网络安全局(ANSSI)成立于2009年，是更广泛努力的一部分，早在该术语流行之前就已在数字主权上建立机构实力。当爱德华·斯诺登在2013年揭露NSA监控规模时，法国的反应是技术性的而非修辞性的：ANSSI于2014年7月发布了首个SecNumCloud框架。十年后，该框架已发展到近1200项技术要求。 当时，SecNumCloud是网络安全资格认证，而非主权工具：它设定了架构、加密标准、访问控制和事件响应的要求，但未提及谁控制底层基础设施或谁的法律适用于它。CLOUD法案改变了这一点。它于2018年通过，赋予美国当局对美国公司所持数据的域外管辖权，突然间，一个法国网络安全框架拥有了它原本未设计的 geopolitical 维度。2022年引入的3.2版本增加了第19章：一组针对域外法律的明确要求，规定只有欧盟运营商可以运行服务，非欧盟方不得访问客户数据，并且提供商可以自主运营而无需外部干预。它承诺“免受域外法律管辖”。 2025年12月，法国国防与科技集团Thales与Google Cloud的合资企业S3NS，在法国控制下运营Google Cloud平台技术，成为首个获得SecNumCloud资格的“混合”云。该认证引发了激烈辩论：这是真正的主权，还是带有欧洲旗帜的美国技术？ 但辩论忽略了一个更根本的问题。SecNumCloud的认证是否能够延伸到其运行的硅片？Francillon处于能够看到问题两面性的位置。他是法国技术学院云安全工作组的成员，该机构就SecNumCloud等框架的技术基础提供建议。而且他花了多年时间在学术文献中研究固件后门，并在实践中演示过。 他知道硬件能做什么，也知道认证要求什么。他的出发点是SecNumCloud提供了真正有价值的保护，并且硅片差距并不否定这一点。当被问及SecNumCloud是否明确解决Intel管理引擎或AMD平台安全处理器漏洞时，他的回答毫不含糊：“没有直接要求防止固件后门。” 该框架并非被设计为硬件层安全的技术规范。“该文件旨在保持通用性，不深入技术细节，”Francillon说，“其中大部分是组织安全性。”SecNumCloud要求的是提供商构建适当的威胁模型、考虑缓解机制，并监控可能被利用的外部技术支持管理网关。硬件层未被监督覆盖。它是被有意排除在外的。 Francillon的评估并非边缘观点。Vincent Strubel，设计和管理SecNumCloud的机构ANSSI的局长，同样明确说明了该框架涵盖和不涵盖的内容。在2026年1月一篇关于SecNumCloud范围的LinkedIn帖子中，他写道，所有云服务（无论是否混合）都依赖于其设计和更新并非100%由欧洲控制的电子组件。如果欧洲与美国或中国技术断绝联系，他认为，结果将是全球性的安全退化问题，不仅在混合云中，而是无处不在。 Strubel谨慎地定位SecNumCloud：它是“一个网络安全工具，而非产业政策工具”。它保护免受域外执法和杀死开关场景的影响。它从未被设计为消除硬件层的技术依赖，而且没有任何行为体、国家或企业完全控制整个云技术栈。 主权讨论中经常引用的一项技术是OpenTitan，Google的开源安全元件，部署在其服务器硬件上，并用于S3NS基础设施内。Francillon清楚地说明了它是什么，关键的是，它不是什么。“OpenTitan是一个安全元件，一个侧面的小芯片，可用于保护敏感密钥、提供签名、进行认证，”他解释道，“有点像TPM。”但它不是主处理器的替代品。“Linux和你的所有应用程序不会在上面运行。”OpenTitan作为外部信任根，与x86基础设施并列，独立于ME。这很重要，因为默认的嵌入式TPM位于ME内部，使其容易受ME攻击面影响。OpenTitan位于该边界之外。两者解决完全不同的问题，而主权倡导者有时会混淆它们，从而模糊了残余暴露实际所在。 ANSSI自己于2025年10月发布的关于机密计算的技术立场文件得出结论，Intel SGX、TDX和AMD SEV-SNP“就其本身而言不足以保护整个系统，或满足SecNumCloud 3.2的主权要求”。物理攻击者被“明确排除在”供应商安全目标“范围之外”。供应链攻击者被“明确排除在范围之外”。本文讨论的ME攻击面不属于这两类：它是远程网络威胁，而非物理威胁。该文件对担心恶意云提供商的用户的结论是直白的：“切换到他们信任的云提供商，或者使用自己的硬件并采取物理安全保护措施。” ### 带有结构性缺陷的城堡 Francillon并不否认SecNumCloud未评估ME。他的论点是这在实践中无关紧要。“我的意思是，如果有一个后门可以进入房间，但如果房间在城堡里，它就不能被直接利用。你必须先通过城堡的墙壁。”网络隔离、监控和威胁模型就是那些墙壁。