Mae Google wedi cyhoeddi agoriad manylebau a gweithrediad cyfeirio o'r PSP (Protocol Diogelwch PSP), a ddefnyddir i amgryptio traffig rhwng canolfannau data. Mae'r protocol yn defnyddio pensaernïaeth amgáu traffig tebyg i IPsec ESP (Amgáu Llwythi Tâl Diogelwch) dros IP, gan ddarparu amgryptio, rheolaeth cywirdeb cryptograffig a dilysu ffynhonnell. Mae'r cod gweithredu PSP wedi'i ysgrifennu yn C a'i ddosbarthu o dan drwydded Apache 2.0.
Nodwedd o PSP yw optimeiddio'r protocol i gyflymu cyfrifiadau a lleihau'r llwyth ar y prosesydd canolog trwy symud gweithrediadau amgryptio a dadgryptio i ochr cardiau rhwydwaith (dadlwytho). Mae cyflymu caledwedd yn gofyn am gardiau rhwydwaith arbennig sy'n gydnaws â PSP. Ar gyfer systemau gyda chardiau rhwydwaith nad ydynt yn cefnogi PSP, cynigir gweithrediad meddalwedd SoftPSP.
Defnyddir protocol y CDU fel dull cludo ar gyfer trosglwyddo data. Mae pecyn PSP yn dechrau gyda phennawd IP, wedi'i ddilyn gan bennawd CDU, ac yna ei bennawd PSP ei hun gyda gwybodaeth amgryptio a dilysu. Nesaf, mae cynnwys y pecyn TCP/CDU gwreiddiol wedi'i atodi, gan orffen gyda bloc PSP terfynol gyda siec i gadarnhau cywirdeb. Mae'r pennawd PSP, yn ogystal â phennawd a data'r pecyn wedi'i amgáu, bob amser yn cael eu dilysu i gadarnhau hunaniaeth y pecyn. Gellir amgryptio data'r pecyn wedi'i amgáu, tra mae'n bosibl cymhwyso amgryptio yn ddetholus wrth adael rhan o'r pennawd TCP yn y clir (tra'n cynnal rheolaeth dilysrwydd), er enghraifft, i ddarparu'r gallu i archwilio pecynnau ar offer rhwydwaith cludo.
Nid yw PSP yn gysylltiedig ag unrhyw brotocol cyfnewid allweddol penodol, mae'n cynnig sawl opsiwn fformat pecyn ac yn cefnogi'r defnydd o wahanol algorithmau cryptograffig. Er enghraifft, darperir cefnogaeth i'r algorithm AES-GCM ar gyfer amgryptio a dilysu (dilysu) ac AES-GMAC ar gyfer dilysu heb amgryptio'r data gwirioneddol, er enghraifft pan nad yw'r data'n werthfawr, ond mae angen i chi sicrhau nad yw wedi'i amgryptio. yr ymyrrwyd ag ef yn ystod y trosglwyddiad ac mai dyma'r un cywir a anfonwyd yn wreiddiol.
Yn wahanol i brotocolau VPN nodweddiadol, mae PSP yn defnyddio amgryptio ar lefel cysylltiadau rhwydwaith unigol, ac nid y sianel gyfathrebu gyfan, h.y. Mae PSP yn defnyddio allweddi amgryptio ar wahân ar gyfer gwahanol gysylltiadau CDU a TCP wedi'u twnelu. Mae'r dull hwn yn ei gwneud hi'n bosibl ynysu traffig yn llymach o wahanol gymwysiadau a phroseswyr, sy'n bwysig pan fo cymwysiadau a gwasanaethau gwahanol ddefnyddwyr yn rhedeg ar yr un gweinydd.
Mae Google yn defnyddio'r protocol PSP i amddiffyn ei gyfathrebiadau mewnol ei hun ac i amddiffyn traffig cleientiaid Google Cloud. Mae'r protocol wedi'i gynllunio i ddechrau i weithio'n effeithiol mewn seilweithiau lefel Google a dylai ddarparu cyflymiad caledwedd o amgryptio ym mhresenoldeb miliynau o gysylltiadau rhwydwaith gweithredol a sefydlu cannoedd o filoedd o gysylltiadau newydd yr eiliad.
Cefnogir dau ddull gweithredu: “datganol” a “diwladwriaeth”. Yn y modd “di-wladwriaeth”, trosglwyddir allweddi amgryptio i'r cerdyn rhwydwaith yn y disgrifydd pecyn, ac ar gyfer dadgryptio cânt eu tynnu o'r maes SPI (Mynegai Paramedr Diogelwch) sy'n bresennol yn y pecyn gan ddefnyddio prif allwedd (256-bit AES, wedi'i storio yn cof y cerdyn rhwydwaith a'i ddisodli bob 24 awr), sy'n eich galluogi i arbed cof cerdyn rhwydwaith a lleihau gwybodaeth am gyflwr y cysylltiadau wedi'u hamgryptio sy'n cael eu storio ar ochr yr offer. Yn y modd “stateful”, mae'r allweddi ar gyfer pob cysylltiad yn cael eu storio ar y cerdyn rhwydwaith mewn tabl arbennig, yn debyg i sut mae cyflymiad caledwedd yn cael ei weithredu yn IPsec.
Mae PSP yn darparu cyfuniad unigryw o alluoedd protocol TLS ac IPsec/VPN. Roedd TLS yn gweddu i Google o ran diogelwch fesul-cysylltiad, ond nid oedd yn addas oherwydd ei ddiffyg hyblygrwydd ar gyfer cyflymiad caledwedd a diffyg cefnogaeth CDU. Darparodd IPsec annibyniaeth protocol a chefnogodd cyflymiad caledwedd yn dda, ond nid oedd yn cefnogi rhwymiad allweddol i gysylltiadau unigol, fe'i cynlluniwyd ar gyfer nifer fach o dwneli a grëwyd yn unig, a chafodd broblemau wrth raddio cyflymiad caledwedd oherwydd storio'r cyflwr amgryptio llawn mewn tablau a leolir yn y cof y cerdyn rhwydwaith (er enghraifft, mae angen 10 GB o gof i drin 5 miliwn o gysylltiadau).
Yn achos rhaglen cymorth Bugeiliol, gellir trosglwyddo gwybodaeth am gyflwr amgryptio (allweddi, fectorau cychwynnol, rhifau dilyniant, ac ati) yn y disgrifydd pecyn TX neu ar ffurf pwyntydd i gynnal cof y system, heb feddiannu cof cerdyn rhwydwaith. Yn ôl Google, gwariwyd tua 0.7% o bŵer cyfrifiadurol a llawer iawn o gof yn flaenorol ar amgryptio traffig RPC yn seilwaith y cwmni. Roedd cyflwyno PSP trwy ddefnyddio cyflymiad caledwedd yn ei gwneud hi'n bosibl lleihau'r ffigur hwn i 0.2%.
Ffynhonnell: opennet.ru