Natuurlijk wil je zelf de controle over je pc houden. Maar zelfs als je een besturingssysteem kiest dat je controle niet afneemt - zoals Linux - ben je op een dieper systeemniveau nog niet de baas over je computer. Dit dankzij Intel AMT en de bijbehorende Management Engine.

In de beginjaren van de computer was het vanzelfsprekend dat je de broncode van je besturingssysteem en software kon inzien. Dat was ook nodig, want de meeste gebruikers waren toen zelf nog ontwikkelaars. Je had daardoor heel wat controle over je computer: je kon zelf bugs fiksen en de functionaliteit uitbreiden. Universiteiten en onderzoeksafdelingen in bedrijven creëerden die programma’s en deelden ze vrijelijk, of hardwareproducenten ontwikkelden ze en verspreidden ze gratis bij hun hardware.

Beetje bij beetje verloren computergebruikers die controle. De software-industrie werd volwassen en de ontwikkelingskosten stegen. Commerciële partijen begonnen geld te vragen voor softwarelicenties los van hardware en wilden niet dat anderen hun software konden bestuderen of aanpassen. Deze zogenaamde propriëtaire software werd de norm.

Al die tijd bleef er een kleine groep idealistische gebruikers ijveren voor controle over hun pc. In de jaren 1980 en 1990 ontstonden er bewegingen die vrije software en opensource software promoten. In 1991 bracht de Finse student Linus Torvalds de Linux-kernel ter wereld en momenteel blijven gebruikers van Linux-distributies en BSD-besturingssystemen een kleine harde kern vormen van computergebruikers die bewust niet met Windows of macOS werken omdat ze de controle over hun pc willen houden.

Al die inspanningen om voor opensourcesoftware te kiezen, zetten in de praktijk geen zoden aan de dijk. De huidige pc-hardware is immers zo gesloten als wat. Elke moderne pc met het Intel-platform is uitgerust met een microcontroller, de Management Engine, die volledige controle over de pc heeft, maar onafhankelijk van de processor werkt en zonder dat de processor of je besturingssysteem er ook maar iets van ziet.

Ook het BIOS (of tegenwoordig UEFI) is in moderne pc’s niet open, net zoals de firmware van allerlei chips in je computer. Al deze gesloten componenten in pc-hardware betekenen dat je eigenlijk nooit zelf volledig de controle over je pc hebt, zelfs al draai je Linux en opensourcesoftware. Voor gebruikers die graag weten wat er op hun systeem draait, is dit een nachtmerrie. Hoe weet je of je privacy en veiligheid met zo’n systeem voldoende beschermd zijn?

Intel Management Engine

In 2006 introduceerde processorfabrikant Intel zijn Intel Management Engine. Dit is eigenlijk een volledige computer in je computer. Sinds de Core i3/i5/i7-processoren die Intel in 2009 voor het eerst uitbracht, zit de Management Engine in de Platform Controller Hub, een chip die de processor ondersteunt bij zijn taken. Alle desktopsystemen, mobiele systemen en serversystemen vanaf midden 2006 met een Intel-processor zijn uitgerust met een Management Engine.

De Management Engine bestaat uit een processorkern, cachegeheugen voor code en data, een cryptografische coprocessor, een kleine hoeveelheid rom en ram, geheugencontrollers, en zelfs een DMA-controller (direct memory access) met volledige toegang tot het werkgeheugen van je systeem. De Management Engine kan niet alleen het werkgeheugen van de computer uitlezen, maar krijgt ook de bovenste 16 Mbyte van je ram gereserveerd voor eigen gebruik. Verder heeft de Management Engine ook netwerktoegang via de ethernetcontroller van je computer, zelfs met een eigen mac-adres.

©PXimport

Het opstartprogramma van de Management Engine staat op diens interne ROM en laadt een firmwaremanifest van de SPI-flashchip van de pc. Dit manifest bevat een lijst van firmwaremodules en is cryptografisch ondertekend met een sleutel van Intel.

Als het opstartprogramma niet kan verifiëren of het manifest door die sleutel is ondertekend, weigert dit de firmware uit te voeren en wordt de Management Engine stopgezet. Het manifest bevat ook cryptografische hashes van de inhoud van de modules.

De kernel van de firmware is gebaseerd op het propriëtaire realtime besturingssysteem ThreadX van Express Logic. Tot de andere modules behoren een Java virtuele machine met Java-klassen voor cryptografie en veilige opslag, Intel Active Management Technology (AMT), Intel Boot Guard en Protected Audio Video Path of recenter Intel Insider. We gaan even kort op enkele van die laatste modules in.

Wake-on-Lan

De bekendste module van de Management Engine is Active Management Technology (AMT), dat onderdeel uitmaakt van Intels vPro-merk voor bedrijven. Het is een webserver die op de Management Engine draait en gebruikers op een afstand over een versleutelde verbinding toelaat om de pc te beheren, systeeminformatie te raadplegen en zelfs de computer uit- en in te schakelen. Dat inschakelen is zelfs mogelijk als de pc uitgeschakeld is (correcter: als die zich in de S3-slaaptoestand bevindt): die wordt dan via Wake-on-LAN gewekt. De Management Engine is immers actief zolang er stroom is.

Dat zijn heel krachtige mogelijkheden. Als er beveiligingsfouten in de Management Engine zitten, heeft dat dan ook grote gevolgen voor de veiligheid van je systeem. In 2009 al ontwikkelde Invisible Things Lab een exploit voor de Management Engine in de Intel Q35 chipset (geïntroduceerd in 2007). Ze slaagden erin om het beschermde deel RAM dat normaal gereserveerd is voor de Management Engine te remappen en daar een rootkit in te installeren.

In 2011 maakte beveiligingsonderzoeker Patrick Stewin daarvan gebruik om ter demonstratie een rootkit te installeren die alle toetsaanslagen continu registreerde en over het netwerk doorstuurde. Dat deed het door de toetsenbordbuffer in het RAM continu uit te lezen. En aangezien die rootkit op de volledig geïsoleerde Management Engine draait en niet op de processor zelf van de pc, kan antimalwaresoftware dit op geen enkele manier ontdekken.

Intel Boot Guard

Een extra Management Engine module die Intel in 2013 introduceerde in de Haswell-processoren is Intel Boot Guard. Een OEM (original equipment manufacturer) genereert dan een sleutelpaar en installeert de publieke sleutel in de processor. Die processor wil daarna dan alleen opstarten van firmware (BIOS/UEFI) die is ondertekend door de bijbehorende privésleutel, die alleen de OEM kent. Op zulke systemen is het dan onmogelijk om de firmware te vervangen door alternatieve, opensourcefirmware zoals coreboot of Libreboot. Als je zelf je pc samenstelt met een afzonderlijk moederbord en processor, heb je dit probleem overigens niet.

Minder bekend is dat de Management Engine ook een DRM-module (digital rights management) heeft voor audio en video. Vroeger heette die module Protected Audio Video Path (PAVP), maar sinds de Sandy Bridge-processoren wordt er gebruikgemaakt van Intel Insider. Deze DRM-modules werken gelijkaardig. De Management Engine ontvangt van het besturingssysteem van de processor een versleutelde mediastroom en een versleutelde sleutel, en ontcijfert de sleutel.

De Management Engine stuurt de versleutelde mediastroom dan samen met de gedecrypteerde sleutel naar de GPU, die de mediastroom met de sleutel decrypteert en afspeelt. Overigens maken ook andere modules van de Management Engine gebruik van de DRM-mogelijkheid, bijvoorbeeld om een pincode voor authenticatie op het scherm te tonen. Dat gebeurt volledig buiten het besturingssysteem om, zodat die pincode niet door software op de pc te onderscheppen is. Maar aan de andere kant betekent dit dat een rootkit in de Management Engine ook zaken op je scherm kan tonen waar je totaal geen controle over hebt.

AMD

Ben je trouwens fan van AMD? Denk dan niet dat je veilig bent voor de bedreigingen van de Management Engine. Hoewel AMD niet van Intels oplossing gebruikmaakt, bevatten alle AMD-processoren sinds 2013 een Platform Security Processor, een ARM-kern met TrustZone-technologie. De werking daarvan is helemaal anders dan die van de Management Engine, maar deze processor doet iets heel gelijkaardigs.

De Platform Security Processor is op dezelfde ‘die’ (Engels, stukje printplaat of geleidend materiaal) als de hoofdprocessor ingebakken. Ze heeft toegang tot het volledige ram, de netwerkcontrollers en alle andere op de PCI-/PCI Express-bus aangesloten apparaten. De firmware is cryptografisch ondertekend door AMD. Als deze niet aanwezig is, blijft de processor van je pc zichzelf resetten en kun je er dus niet mee werken.

In een volgend artikel kijken we naar de mogelijkheden om de Management Engine eventueel uit te schakelen, dan wel naar de manieren om uit te wijken naar andere opties.

Resolutie is marketing, refreshrate is beleving. Waar 4K zorgt voor een mooi plaatje, zorgt een hoge verversing (Hz) ervoor dat je daadwerkelijk wint. Hieronder lees je waarom snelheid in feite de échte koning is in gaming.

Veel gamers staren zich blind op 4K-resolutie. Ze kopen een duur scherm, zetten de settings op Ultra en vragen zich vervolgens af waarom hun spel stroperig aanvoelt. De misvatting is dat 'mooier' gelijkstaat aan 'beter'. In werkelijkheid is de vloeibaarheid van het beeld – de refreshrate, oftewel verversingssnelheid – veel bepalender voor hoe direct en responsief een game aanvoelt. Aan het eind van dit artikel weet je precies of jij moet kiezen voor pixels of snelheid.

Hoe je ogen bedrogen worden door Hertz

Stel je voor dat je snel met je muis over je bureaublad beweegt. Op een standaard 60Hz-scherm zie je de cursor in schokjes over het beeld springen; je hersenen vullen de gaten in. Op een 144Hz- of 240Hz-gaming-monitor verdwijnen die gaten.

Het technische verschil zit hem in de verversingssnelheid: het aantal keren per seconde dat het beeld wordt vernieuwd. Bij 60 Hz krijg je elke 16,6 milliseconden een nieuw beeld. Bij 144 Hz is dat elke 6,9 milliseconden. Dat klinkt als een klein verschil, maar je voelt het direct. Het gestotter dat je onbewust gewend bent verdwijnt. Bewegingen voelen boterzacht aan, alsof de cursor (of je crosshair) aan je hand vastgeplakt zit in plaats van er achteraan zwemt. Dit effect wordt motion clarity genoemd: objecten blijven scherp, zelfs als ze snel door het beeld bewegen.

©Framestock

De winst in shooters en snelle actie

Wanneer werkt dit in je voordeel? Vooral in competitieve shooters zoals Call of Duty, Counter-Strike of Valorant. In dit soort games telt elke milliseconde. Een hogere refreshrate vermindert de input lag, oftewel de tijd tussen jouw klik en de actie op het scherm.

Stel, je draait je personage snel om. Bij een lage refreshrate wordt de vijand een fractie later getoond en zie je veel bewegingsonscherpte (motion blur). Met een hoge refreshrate zie je de vijand eerder en scherper, waardoor je sneller kunt reageren. Je hebt letterlijk actuelere informatie dan je tegenstander. Om dat te bereiken heb je wel een krachtige videokaart nodig die genoeg beelden per seconde (FPS) kan genereren om je snelle scherm bij te houden.

Wanneer resolutie het toch wint van snelheid

Is snelheid altijd heilig? Nee. Als je vooral tragere, meer verhalende games speelt (zoals Cyberpunk 2077 in de 'sightseeing' modus), Microsoft Flight Simulator of grafische RPG's, dan voegt 240 Hz weinig toe. In deze titels kijk je vaak naar stilstaande of langzaam bewegende omgevingen.

In dat geval wil je juist de texturen van de bomen, de reflecties in het water en de details in gezichten zien. Een 4K-monitor op 60 of 120 Hz is dan een logischer keuze dan een onscherp 1080p-scherm op 360 Hz. De visuele pracht weegt hier zwaarder dan de milliseconden reactietijd. Ook voor console-gamers die op de bank zitten, is een goede televisie met 4K en HDR vaak indrukwekkender dan puur de hoogste framerates.

Situaties waarin een hoge refreshrate zinloos is

Er zijn momenten dat investeren in een snel scherm weggegooid geld is. Dat gebeurt bijvoorbeeld als je hardware de snelheid niet kan leveren; als je videokaart maar 50 frames per seconde kan leveren, heeft een 144Hz-scherm geen nut omdat het scherm wacht op de computer. Daarnaast beperken oude kabels je bandbreedte, waardoor je monitor soms terugvalt naar 60 Hz zonder dat je het doorhebt. Ook op oudere consoles zoals de Nintendo Switch of de standaard PS4 heb je niets aan snelle schermen, omdat deze hardware fysiek gelimiteerd is op 60 Hz of lager.

Bepaal wat jouw setup aankan

Kijk dus kritisch naar je huidige situatie voordat je naar de winkel rent. Heb je een high-end pc die makkelijk 120+ FPS haalt in jouw favoriete games? Dan is een upgrade naar een 144- of 165Hz-monitor de grootste sprong in spelplezier die je kunt maken. Speel je op een PlayStation 5 of Xbox Series X? Zoek dan specifiek naar een scherm met HDMI 2.1-ondersteuning om 120 Hz op 4K mogelijk te maken. Zit je ver van je scherm af en speel je relaxed? Investeer dan liever in resolutie en kleurdiepte.

©Proxima Studio

Kortom: snelheid is de sleutel tot succes!

Verversingssnelheid is belangrijker dan resolutie voor iedereen die actie- of competitieve games speelt. Het zorgt voor een vloeiender beeld, minder input lag en betere motion clarity, wat je direct een voordeel geeft in het spel. Resolutie is vooral luxe voor het oog, maar refreshrate is pure prestatie voor de speler.

Game of Thrones kennen we als een reeks brute, grootschalige verhalen, maar A Knight of Seven Kingdoms is het tegenovergestelde. Wat blijkt? Met een schattig, kleinschalig verhaal voelt Westeros alleen maar groter.

Het regent. Op een heuvel, onder een boom, zien we een kast van een vent in de weer met een schop. Een ridder, lijkt het. Hij graaft een graf. Tegelijkertijd praat de ridder in zichzelf: er is in de buurt een toernooi, en we kijken waarschijnlijk naar de winnaar. De muziek zwelt op, terwijl onze held vastberaden in de verte staart. De iconische Game of Thrones-muziek lijkt ons te gaan overspoelen, klaar om naar een prachtig geanimeerde intro te gaan. In plaats daarvan, knippen we naar een shot waarin onze held achter een boom staat te poepen.

De boodschap is duidelijk: de serie heeft schijt aan de verwachtingen die je van Game of Thrones hebt. De serie stond er ooit immers om bekend dat het brak met de conventies van mainstream fantasy. Nu de reeks daar inmiddels zelf toe behoort, is het aan A Knight on Seven Kingdoms om er weer een flinke draai aan te geven.

Een ridder van de heg

Nog een spin-off? George R. R. Martin is toch die schrijver die nooit schrijft? Tja, dat valt wel mee. Hoewel de beste man zich al tien jaar uit een hoekje probeert te schrijven met het langverwachte Winds of Winter, heeft hij een hoop andere verhalen in Westeros verteld.

Zo komen de verhalen van House of the Dragon uit het boek Fire and Blood, waarin we volgen hoe de Targaryen-familie zichzelf met generaties aan ruzies ten val brengt. Maar George R. R. Martin heeft de schaal ook wel eens flink verkleind: in het korte boek The Hedge Knight, dat nog stamt uit de vorige eeuw, volgen we een ridder en zijn schildknaap.

©HBO Max

Daarin volgen we de ridder Dunk - niet onze eigen Dunke, maar Ser Duncan The Tall. Hij is een ‘hagenridder’: een ridder zonder verwantschap aan een heer. Of, in andere woorden: een freelancer die, als hij niet werkt, in de heg mag slapen. Dunk blijft niet lang een zzp’er: hij ontmoet de kale stadsjongen Egg, die dolgraag zijn schildknaap wil zijn.

Vrede!?

De verhalen van dit geliefde tweetal bieden de basis van A Knight of the Seven Kingdoms. De twist? Er is vrede in Westeros - ja, het kan echt - en we volgen een nobody, dus er is ineens ruimte voor een gezellig, klein verhaal. Dat wordt gereflecteerd in de afleveringen: geen dik uur, maar een comfortabel halfuurtje.

©HBO Max

De ridder Dunk wil dolgraag bewijzen dat hij een eervolle ridder is, maar dat is in het brute Westeros best een uitdaging. Al helemaal als je een lompe lieverd als Dunk bent. Dan komt zo’n slimme, wereldwijze schildknaap als Egg ineens goed van pas.

Het wordt al helemaal lastig als je niet eens kan bewijzen dat je een ridder bent. Dan mag je namelijk niet eens meedoen aan een toernooi - eentje waarbij Dunk overigens zijn paard en zijn spullen kwijtraakt, mocht hij verliezen.

Meneer, mag ik meedoen?

Met dat toernooi wordt een van de Game of Thrones-clichés lekker op zijn kop gezet. In de oorspronkelijke serie zagen we in aflevering vier een heftig toernooi en House of the Dragon opende er zelfs mee: het is vaak een goede manier om zonder grote verhaalconsequenties te laten zien hoe gewelddadig Westeros is.

©HBO Max

In A Knight of the Seven Kingdoms komen we dat toernooi niet eens bínnen. Eerst moet Dunk maar eens bewijzen dat hij een ridder is, uitzoeken hoe zo’n toernooi werkt en een heer overtuigen hem te helpen - maar ook dansen, touwtje trekken en een poppenspel aanschouwen. Het is een fantastische stap terug van al die grootschalige oorlogen.

Doordat het verhaal zo’n piepkleine focus heeft, begin je om iedereen te geven: iemand die z’n paard verkoopt in A Knight of Seven Kingdoms is vele malen pijnlijker dan een draak die wordt doodgeschoten in Game of Thrones. We bevinden ons nog steeds in de brute wereld, maar het komt allemaal wat harder aan omdat we ook zien hoe grappig en gezellig het kan zijn.

©HBO Max

Een fossiele brandstof

Toch loopt ook A Knight of Seven Kingdoms een zeker risico. De kwaliteit van Game of Thrones kelderde toen de makers het bronmateriaal inhaalden. Ook die van House of the Dragon nam wat af, toen showrunner Ryan Condal besloot George R.R. Martin niet langer te raadplegen en de grote climax werd doorgeschoven naar het volgende seizoen.

Er zijn momenteel drie korte boeken rondom Dunk en Egg, waarvan dit eerste seizoen het eerste boek beslaat. George R.R. Martin zegt nog twaalf verhalen in zijn hoofd te hebben, maar volgens HBO-baas Casey Bloys moeten de seizoenen van A Knight of Seven Kingdoms jaarlijks verschijnen: dat klinkt goed, maar dan mag Martin wel even doorschrijven. Zijn verhalen voelen nu als een fossiele brandstof: het is een enorm waardevolle bron, maar die wordt niet echt meer aangevuld.

©HBO Max

Gelukkig lijken showrunner Ira Parker en George R.R. Martin goed bevriend. De schrijver heeft Parker een outline gegeven van de twaalf verhalen, dus in theorie kan de serie daarmee verder - maar laten we niet vergeten dat dit bij de laatste seizoenen van Game of Thrones óók het geval was.

Bombastisch gefluit

Toch verdient Ira Parker ons optimisme, want A Knight of Seven Kingdoms is een fenomenale toevoeging aan de wereld van A Song of Ice and Fire. Verhalen hebben contrast nodig: door het klein te houden, voelt de wereld groot. Door het lief te houden, komen de gemene momenten keihard aan.

©HBO Max

De muziek is hier een spectaculair voorbeeld van. De bombastische muziek wordt ons aan het begin als wortel voorgehouden, maar dat is het ook wel - in plaats daarvan moeten we het doen met een gezellig gitaartje, iemand die fluit en het gezang van de vogeltjes.

Als het balletje dan eenmaal gaat rollen, neemt de muziek toch een bombastischer formaat aan - maar op dat moment voelt het verdiend. En, het allerbelangrijkste: in die epische muziek zit óók gewoon nog dat schattige gefluit.

Afleveringen van A Knight of Seven Kingdoms verschijnen wekelijks op HBO Max.