Google hà annunziatu l'apertura di specificazioni è una implementazione di riferimentu di u PSP (PSP Security Protocol), utilizatu per criptà u trafficu trà i centri di dati. U protocolu usa una architettura di incapsulazione di trafficu simile à IPsec ESP (Encapsulating Security Payloads) nantu à IP, chì furnisce criptografia, cuntrollu di integrità criptografica è autentificazione di fonte. U codice di implementazione PSP hè scrittu in C è distribuitu sottu a licenza Apache 2.0.
Una funzione di PSP hè l'ottimisazione di u protokollu per accelerà i calculi è riduce a carica nantu à u processatore cintrali movendu l'operazioni di criptografia è decifrazione à u latu di e carte di rete (offload). L'accelerazione hardware richiede carte di rete speciali compatibili PSP. Per i sistemi cù carte di rete chì ùn supportanu micca PSP, hè pruposta una implementazione software di SoftPSP.
U protocolu UDP hè utilizatu com'è trasportu per u trasferimentu di dati. Un pacchettu PSP principia cù un header IP, seguitu da un header UDP, è dopu u so propiu header PSP cù l'infurmazioni di criptografia è autentificazione. In seguitu, u cuntenutu di u pacchettu TCP / UDP uriginale sò appiccicati, finiscinu cù un bloccu PSP finali cù un checksum per cunfirmà l'integrità. L'intestazione PSP, cum'è l'intestazione è e dati di u pacchettu incapsulatu, sò sempre autenticati per cunfirmà l'identità di u pacchettu. I dati di u pacchettu incapsulatu ponu esse criptati, mentre chì hè pussibule applicà selettivamente a criptografia mentre abbandunà una parte di l'intestazione TCP in u chjaru (mentre mantene u cuntrollu di l'autenticità), per esempiu, per furnisce l'abilità di inspeccionà i pacchetti nantu à l'equipaggiu di a rete di transitu.
PSP ùn hè micca ligatu à alcun protokollu di scambiu di chjave specificu, offre parechje opzioni di furmatu di pacchettu è sustene l'usu di diversi algoritmi criptografici. Per esempiu, u supportu hè furnitu per l'algoritmu AES-GCM per a criptografia è l'autentificazione (autentificazione) è AES-GMAC per l'autentificazione senza criptografia di i dati attuali, per esempiu quandu a dati ùn hè micca preziosa, ma avete bisognu di assicurà chì ùn hà micca. hè statu manipulatu durante a trasmissione è chì hè u currettu chì sò stati urigginariamenti mandati.
A cuntrariu di i protokolli VPN tipici, PSP usa a criptografia à u livellu di e cunnessione di a reta individuale, è micca u canali di cumunicazione tutale, i.e. PSP usa chjavi di criptografia separati per e diverse cunnessioni UDP è TCP tunnellate. Stu approcciu permette di ottene un isolamentu più strettu di u trafficu da e diverse applicazioni è prucessori, chì hè impurtante quandu l'applicazioni è i servizii di diversi utilizatori sò in esecuzione in u stessu servitore.
Google usa u protokollu PSP sia per prutege a so propria cumunicazione interna sia per prutege u trafficu di i clienti di Google Cloud. U protokollu hè inizialmente cuncepitu per travaglià in modu efficace in infrastrutture à livellu di Google è deve furnisce l'accelerazione hardware di a criptografia in presenza di milioni di cunnessione di rete attivi è a creazione di centinaie di millaie di novi cunnessione per seconda.
Dui modi operativi sò supportati: "stateful" è "stateless". In u modu "stateless", i chjavi di criptografia sò trasmessi à a carta di rete in u descrittore di pacchettu, è per a decifrazione sò estratti da u campu SPI (Indice di Parametri di Sicurezza) presente in u pacchettu utilizendu una chjave maestra (256-bit AES, almacenata in u pacchettu). a memoria di a carta di rete è rimpiazzata ogni 24 ore), chì permette di salvà a memoria di a carta di rete è minimizzà l'infurmazioni nantu à u statu di e cunnessione criptate guardate in u latu di l'equipaggiu. In u modu "stateful", i chjavi per ogni cunnessione sò guardati nantu à a carta di rete in una tavola speciale, simili à cumu l'accelerazione hardware hè implementata in IPsec.
PSP furnisce una cumminazione unica di capacità di protokollu TLS è IPsec / VPN. TLS hè adattatu à Google in quantu à a sicurità per a cunnessione, ma ùn era micca adattatu per a so mancanza di flessibilità per l'accelerazione hardware è a mancanza di supportu UDP. IPsec hà furnitu l'indipendenza di u protokollu è hà supportatu bè l'accelerazione hardware, ma ùn hà micca supportatu l'associazione di chjave à e cunnessione individuali, hè statu cuncepitu solu per un pocu numeru di tunnelli creati, è hà avutu prublemi à scalà l'accelerazione hardware per u almacenamentu di u statu di crittografia cumpletu in tavule situate in a memoria. di a carta di rete (per esempiu, 10 GB di memoria hè necessariu per trattà 5 milioni di cunnessione).
In u casu di PSP, l'infurmazioni nantu à u statu di criptografia (chjavi, vettori d'inizializazione, numeri di sequenza, etc.) ponu esse trasmessi in u descriptor di pacchettu TX o in forma di un punteru à a memoria di u sistema d'ospitu, senza occupà a memoria di a carta di rete. Sicondu Google, circa 0.7% di a putenza di computing è una grande quantità di memoria sò stati precedentemente spesi per criptà u trafficu RPC in l'infrastruttura di a cumpagnia. L'intruduzioni di PSP per l'usu di l'accelerazione hardware hà permessu di riduce sta figura à 0.2%.
Source: opennet.ru