Google wis ngumumake bukaan spesifikasi lan implementasi referensi saka PSP (PSP Security Protocol), sing digunakake kanggo ngenkripsi lalu lintas antarane pusat data. Protokol kasebut nggunakake arsitektur enkapsulasi lalu lintas sing padha karo IPsec ESP (Encapsulating Security Payloads) liwat IP, nyedhiyakake enkripsi, kontrol integritas kriptografi lan otentikasi sumber. Kode implementasi PSP ditulis ing C lan disebarake miturut lisensi Apache 2.0.
Fitur PSP yaiku optimasi protokol kanggo nyepetake petungan lan nyuda beban ing prosesor tengah kanthi mindhah operasi enkripsi lan dekripsi menyang sisih kertu jaringan (offload). Akselerasi hardware mbutuhake kertu jaringan khusus sing kompatibel karo PSP. Kanggo sistem karo kertu jaringan sing ora ndhukung PSP, ngajokaken implementasine lunak SoftPSP.
Protokol UDP digunakake minangka transportasi kanggo transfer data. Paket PSP diwiwiti kanthi header IP, banjur header UDP, banjur header PSP dhewe kanthi informasi enkripsi lan otentikasi. Sabanjure, isi paket TCP/UDP asli ditambahake, dipungkasi karo blok PSP pungkasan kanthi checksum kanggo konfirmasi integritas. Header PSP, uga header lan data saka paket encapsulated, tansah otentikasi kanggo konfirmasi identitas paket. Data paket encapsulated bisa ndhelik, nalika iku bisa kanggo selektif aplikasi enkripsi nalika ninggalake bagean saka header TCP ing cetha (nalika njaga kontrol keasliane), contone, kanggo nyedhiyani kemampuan kanggo mriksa paket ing peralatan jaringan transit.
PSP ora diikat karo protokol ijol-ijolan tombol tartamtu, nawakake sawetara opsi format paket lan ndhukung panggunaan algoritma kriptografi sing beda. Contone, support kasedhiya kanggo algoritma AES-GCM kanggo enkripsi lan bukti asli (asli) lan AES-GMAC kanggo otentikasi tanpa enkripsi data nyata, contone, nalika data ora terkenal, nanging sampeyan kudu mesthekake yen wis ora. wis dirusak nalika transmisi lan iku sing bener, sing asline dikirim.
Ora kaya protokol VPN sing khas, PSP nggunakake enkripsi ing tingkat sambungan jaringan individu, lan ora kabeh saluran komunikasi, i.e. PSP nggunakake tombol enkripsi kapisah kanggo sambungan UDP lan TCP tunneled beda. Pendekatan iki ndadekake bisa entuk isolasi lalu lintas sing luwih ketat saka aplikasi lan prosesor sing beda-beda, sing penting nalika aplikasi lan layanan pangguna sing beda-beda mlaku ing server sing padha.
Google nggunakake protokol PSP kanggo nglindhungi komunikasi internal dhewe lan kanggo nglindhungi lalu lintas klien Google Cloud. Protokol kasebut wiwitane dirancang kanggo bisa digunakake kanthi efektif ing prasarana tingkat Google lan kudu nyedhiyakake akselerasi enkripsi hardware nalika ana jutaan sambungan jaringan aktif lan nggawe atusan ewu sambungan anyar saben detik.
Loro mode operasi didhukung: "stateful" lan "stateless". Ing mode "stateless", kunci enkripsi dikirim menyang kertu jaringan ing deskriptor paket, lan kanggo dekripsi diekstrak saka lapangan SPI (Indeks Parameter Keamanan) sing ana ing paket nggunakake kunci master (256-bit AES, disimpen ing memori kertu jaringan lan diganti saben 24 jam), sing ngijini sampeyan kanggo nyimpen memori kertu jaringan lan nyilikake informasi bab negara sambungan ndhelik disimpen ing sisih peralatan. Ing mode "stateful", tombol kanggo saben sambungan disimpen ing kertu jaringan ing meja khusus, padha karo carane akselerasi hardware dileksanakake ing IPsec.
PSP nyedhiyakake kombinasi unik saka kapabilitas protokol TLS lan IPsec/VPN. TLS cocog karo Google babagan keamanan saben sambungan, nanging ora cocok amarga kurang keluwesan kanggo akselerasi hardware lan kurang dhukungan UDP. IPsec nyedhiyakake kamardikan protokol lan ndhukung akselerasi hardware kanthi apik, nanging ora ndhukung ikatan tombol kanggo sambungan individu, dirancang kanggo mung sawetara terowongan sing digawe, lan duwe masalah skala akselerasi hardware amarga nyimpen status enkripsi lengkap ing tabel sing ana ing memori. saka kertu jaringan (contone, 10 GB memori dibutuhake kanggo nangani 5 yuta sambungan).
Ing kasus PSP, informasi babagan negara enkripsi (tombol, vektor initialization, nomer urutan, etc.) bisa ditularakΓ© ing deskriptor paket TX utawa ing wangun pitunjuk kanggo memori sistem inang, tanpa manggoni memori kertu jaringan. Miturut Google, kira-kira 0.7% daya komputasi lan akeh memori sadurunge digunakake kanggo ndhelik lalu lintas RPC ing infrastruktur perusahaan. Introduksi PSP liwat nggunakake akselerasi hardware digawe iku bisa kanggo ngurangi angka iki kanggo 0.2%.
Source: opennet.ru