Google, məlumat mərkəzləri arasında trafiki şifrələmək üçün istifadə edilən PSP (PSP Təhlükəsizlik Protokolu) spesifikasiyalarının və istinad tətbiqinin açılışını elan etdi. Protokol IP üzərindən IPsec ESP (Encapsulating Security Fayloads) ilə oxşar trafik inkapsulyasiya arxitekturasından istifadə edir, şifrələmə, kriptoqrafik bütövlük nəzarəti və mənbə autentifikasiyasını təmin edir. PSP tətbiq kodu C dilində yazılmışdır və Apache 2.0 lisenziyası altında paylanmışdır.
PSP-nin bir xüsusiyyəti hesablamaları sürətləndirmək və şifrələmə və deşifrə əməliyyatlarını şəbəkə kartları (boşaltma) tərəfinə keçirməklə mərkəzi prosessorun yükünü azaltmaq üçün protokolun optimallaşdırılmasıdır. Hardware sürətləndirilməsi xüsusi PSP uyğun şəbəkə kartları tələb edir. PSP-ni dəstəkləməyən şəbəkə kartları olan sistemlər üçün SoftPSP-nin proqram təminatı təklif olunur.
UDP protokolu məlumat ötürülməsi üçün nəqliyyat kimi istifadə olunur. PSP paketi IP başlığı ilə başlayır, ardınca UDP başlığı, daha sonra şifrələmə və autentifikasiya məlumatı olan öz PSP başlığı. Sonra, orijinal TCP/UDP paketinin məzmunu əlavə olunur və bütövlüyü təsdiqləmək üçün yoxlama məbləği olan son PSP bloku ilə bitir. PSP başlığı, həmçinin kapsullaşdırılmış paketin başlığı və məlumatları həmişə paketin şəxsiyyətini təsdiqləmək üçün autentifikasiya olunur. Kapsüllənmiş paketin məlumatları şifrələnə bilər, eyni zamanda TCP başlığının bir hissəsini aydın şəkildə tərk edərkən (orijinallıq nəzarətini qoruyarkən), məsələn, tranzit şəbəkə avadanlığında paketləri yoxlamaq imkanı təmin etmək üçün şifrələməni seçmə tətbiq etmək mümkündür.
PSP heç bir xüsusi açar mübadiləsi protokoluna bağlı deyil, bir neçə paket formatı variantları təklif edir və müxtəlif kriptoqrafik alqoritmlərin istifadəsini dəstəkləyir. Məsələn, şifrələmə və autentifikasiya (autentifikasiya) üçün AES-GCM alqoritmi və faktiki məlumatların şifrələməsi olmadan autentifikasiya üçün AES-GMAC üçün dəstək verilir, məsələn, məlumat dəyərli olmadıqda, lakin siz onun olmadığından əmin olmalısınız. ötürmə zamanı saxtalaşdırıldığını və bunun düzgün olduğunu. əvvəlcə göndərilmiş.
Tipik VPN protokollarından fərqli olaraq, PSP bütün rabitə kanalını deyil, fərdi şəbəkə əlaqələri səviyyəsində şifrələmədən istifadə edir, yəni. PSP müxtəlif tunelli UDP və TCP əlaqələri üçün ayrıca şifrələmə açarlarından istifadə edir. Bu yanaşma müxtəlif tətbiqlərdən və prosessorlardan trafikin daha ciddi izolyasiyasına nail olmağa imkan verir ki, bu da müxtəlif istifadəçilərin tətbiqləri və xidmətləri eyni serverdə işləyərkən vacibdir.
Google həm öz daxili kommunikasiyalarını qorumaq, həm də Google Bulud müştərilərinin trafikini qorumaq üçün PSP protokolundan istifadə edir. Protokol ilkin olaraq Google səviyyəli infrastrukturlarda effektiv işləmək üçün nəzərdə tutulmuşdur və milyonlarla aktiv şəbəkə bağlantısının mövcudluğu və saniyədə yüz minlərlə yeni əlaqənin qurulması zamanı şifrələmənin aparat sürətləndirilməsini təmin etməlidir.
İki iş rejimi dəstəklənir: "vəziyyətli" və "vətəndaşsız". “Vətəndaşsız” rejimdə şifrələmə açarları paket deskriptorunda şəbəkə kartına ötürülür və şifrəni açmaq üçün onlar paketdə mövcud olan SPI (Təhlükəsizlik Parametri İndeksi) sahəsindən əsas açardan (256-bit AES, şəbəkədə saxlanılır) çıxarılır. şəbəkə kartının yaddaşı və hər 24 saatdan bir dəyişdirilir), bu, şəbəkə kartının yaddaşına qənaət etməyə və avadanlıq tərəfində saxlanılan şifrələnmiş əlaqələrin vəziyyəti haqqında məlumatı minimuma endirməyə imkan verir. "Statistika" rejimində, hər bir əlaqə üçün açarlar, IPsec-də aparat sürətləndirilməsinin necə həyata keçirildiyinə bənzər xüsusi cədvəldə şəbəkə kartında saxlanılır.
PSP TLS və IPsec/VPN protokol imkanlarının unikal birləşməsini təmin edir. TLS hər bağlantı təhlükəsizliyi baxımından Google-a uyğun gəlirdi, lakin aparat sürətləndirilməsi üçün çevik olmaması və UDP dəstəyinin olmaması səbəbindən uyğun deyildi. IPsec protokol müstəqilliyini təmin etdi və aparat sürətləndirilməsini yaxşı dəstəklədi, lakin fərdi bağlantılar üçün açarın bağlanmasını dəstəkləmədi, yaradılan yalnız az sayda tunel üçün nəzərdə tutulmuşdu və yaddaşda yerləşən cədvəllərdə tam şifrələmə vəziyyətinin saxlanması səbəbindən aparat sürətləndirilməsinin miqyasında problemlər var idi. şəbəkə kartının (məsələn, 10 milyon əlaqəni idarə etmək üçün 5 GB yaddaş tələb olunur).
PSP vəziyyətində, şifrələmə vəziyyəti haqqında məlumat (açarlar, başlatma vektorları, ardıcıllıq nömrələri və s.) şəbəkə kartının yaddaşını tutmadan TX paket deskriptorunda və ya host sistem yaddaşına göstərici şəklində ötürülə bilər. Google-un məlumatına görə, hesablama gücünün təxminən 0.7%-i və böyük həcmdə yaddaş əvvəllər şirkətin infrastrukturunda RPC trafikinin şifrələnməsinə sərf edilib. PSP-nin aparat akselerasiyasından istifadə etməklə tətbiqi bu göstəricini 0.2%-ə endirməyə imkan verib.
Mənbə: opennet.ru