گوگل از افتتاح مشخصات و اجرای مرجع PSP (پروتکل امنیتی PSP) که برای رمزگذاری ترافیک بین مراکز داده استفاده می شود، خبر داده است. این پروتکل از معماری کپسوله سازی ترافیک مشابه IPsec ESP (Encapsulating Security Payloads) روی IP استفاده می کند که رمزگذاری، کنترل یکپارچگی رمزنگاری و احراز هویت منبع را فراهم می کند. کد پیاده سازی PSP به زبان C نوشته شده و تحت مجوز آپاچی 2.0 توزیع شده است.
یکی از ویژگی های PSP بهینه سازی پروتکل برای افزایش سرعت محاسبات و کاهش بار روی پردازنده مرکزی با انتقال عملیات رمزگذاری و رمزگشایی به کنار کارت های شبکه (offload) است. شتاب سخت افزاری به کارت های شبکه ویژه سازگار با PSP نیاز دارد. برای سیستم های دارای کارت شبکه که از PSP پشتیبانی نمی کنند، پیاده سازی نرم افزاری SoftPSP پیشنهاد شده است.
پروتکل UDP به عنوان یک انتقال برای انتقال داده استفاده می شود. یک بسته PSP با یک هدر IP شروع می شود، به دنبال آن یک هدر UDP و سپس هدر PSP خودش با اطلاعات رمزگذاری و احراز هویت. در مرحله بعد، محتویات بسته اصلی TCP/UDP ضمیمه میشوند و با یک بلوک PSP نهایی با یک جمعبندی برای تایید یکپارچگی خاتمه مییابند. هدر PSP و همچنین هدر و داده های بسته محصور شده، همیشه برای تایید هویت بسته احراز هویت می شوند. دادههای بسته محصور شده را میتوان رمزگذاری کرد، در حالی که میتوان به صورت انتخابی رمزگذاری را اعمال کرد در حالی که بخشی از هدر TCP را خالی میگذارد (در حالی که کنترل اصالت را حفظ میکند)، به عنوان مثال، برای ارائه توانایی بازرسی بستهها در تجهیزات شبکه حمل و نقل.
PSP به هیچ پروتکل تبادل کلید خاصی وابسته نیست، چندین گزینه قالب بسته را ارائه می دهد و از استفاده از الگوریتم های رمزنگاری مختلف پشتیبانی می کند. به عنوان مثال، پشتیبانی از الگوریتم AES-GCM برای رمزگذاری و احراز هویت (احراز هویت) و AES-GMAC برای احراز هویت بدون رمزگذاری داده های واقعی ارائه می شود، به عنوان مثال زمانی که داده ها ارزشمند نیستند، اما باید اطمینان حاصل کنید که این داده ها ارزشمند نیستند. در حین انتقال دستکاری شده است و اینکه در ابتدا ارسال شده است صحیح است.
برخلاف پروتکلهای VPN معمولی، PSP از رمزگذاری در سطح اتصالات شبکه فردی استفاده میکند و نه کل کانال ارتباطی، یعنی. PSP از کلیدهای رمزگذاری مجزا برای اتصالات مختلف UDP و TCP تونل شده استفاده می کند. این رویکرد امکان دستیابی به جداسازی شدیدتر ترافیک از برنامهها و پردازندههای مختلف را فراهم میکند، که زمانی مهم است که برنامهها و سرویسهای کاربران مختلف بر روی یک سرور اجرا شوند.
Google از پروتکل PSP هم برای محافظت از ارتباطات داخلی خود و هم برای محافظت از ترافیک مشتریان Google Cloud استفاده می کند. این پروتکل در ابتدا برای کارکرد موثر در زیرساختهای سطح Google طراحی شده است و باید سرعت رمزگذاری سختافزاری را در حضور میلیونها اتصال شبکه فعال و ایجاد صدها هزار اتصال جدید در ثانیه فراهم کند.
دو حالت عملیاتی پشتیبانی می شود: "stateful" و "stateless". در حالت "بدون حالت"، کلیدهای رمزگذاری به کارت شبکه در توصیفگر بسته منتقل می شوند و برای رمزگشایی آنها از فیلد SPI (شاخص پارامتر امنیتی) موجود در بسته با استفاده از یک کلید اصلی (AES 256 بیتی، ذخیره شده در بسته) استخراج می شوند. حافظه کارت شبکه و هر 24 ساعت تعویض می شود)، که به شما امکان می دهد حافظه کارت شبکه را ذخیره کنید و اطلاعات مربوط به وضعیت اتصالات رمزگذاری شده ذخیره شده در سمت تجهیزات را به حداقل برسانید. در حالت "stateful"، کلیدهای مربوط به هر اتصال در کارت شبکه در یک جدول ویژه ذخیره می شوند، مشابه نحوه اجرای شتاب سخت افزاری در IPsec.
PSP ترکیبی منحصر به فرد از قابلیت های پروتکل TLS و IPsec/VPN را ارائه می دهد. TLS از نظر امنیت هر اتصال برای گوگل مناسب بود، اما به دلیل عدم انعطاف پذیری برای شتاب سخت افزاری و عدم پشتیبانی UDP مناسب نبود. IPsec استقلال پروتکل را ارائه کرد و شتاب سخت افزاری را به خوبی پشتیبانی کرد، اما از اتصال کلید به اتصالات جداگانه پشتیبانی نمی کرد، تنها برای تعداد کمی از تونل های ایجاد شده طراحی شده بود و به دلیل ذخیره کردن حالت رمزگذاری کامل در جداول واقع در حافظه، در مقیاس شتاب سخت افزاری مشکل داشت. کارت شبکه (به عنوان مثال، 10 گیگابایت حافظه برای مدیریت 5 میلیون اتصال مورد نیاز است).
در مورد PSP، اطلاعات مربوط به وضعیت رمزگذاری (کلیدها، بردارهای اولیه، اعداد دنباله و غیره) را می توان در توصیفگر بسته TX یا در قالب یک اشاره گر به حافظه سیستم میزبان، بدون اشغال حافظه کارت شبکه، منتقل کرد. طبق گفته گوگل، تقریباً 0.7 درصد از قدرت محاسباتی و مقدار زیادی حافظه قبلاً صرف رمزگذاری ترافیک RPC در زیرساخت شرکت می شد. معرفی PSP از طریق استفاده از شتاب سخت افزاری باعث شد تا این رقم به 0.2 درصد کاهش یابد.
منبع: opennet.ru