Google деректер орталықтары арасындағы трафикті шифрлау үшін пайдаланылатын PSP (PSP Security Protocol) техникалық сипаттамалары мен анықтамалық іске асырылуының ашылғанын жариялады. Хаттама шифрлауды, криптографиялық тұтастықты басқаруды және көздің аутентификациясын қамтамасыз ететін IP арқылы IPsec ESP (Қауіпсіздік пайдалы жүктемелерін инкапсуляциялау) ұқсас трафикті инкапсуляциялау архитектурасын пайдаланады. PSP іске асыру коды C тілінде жазылған және Apache 2.0 лицензиясы бойынша таратылады.
PSP ерекшелігі есептерді жылдамдату және орталық процессорға жүктемені азайту үшін шифрлау және шифрды шешу операцияларын желілік карталардың жағына жылжыту (жүктеме) үшін протоколды оңтайландыру болып табылады. Аппараттық құралдарды жеделдету үшін арнайы PSP-үйлесімді желі карталары қажет. PSP қолдамайтын желілік карталары бар жүйелер үшін SoftPSP бағдарламалық құралын енгізу ұсынылады.
UDP протоколы деректерді тасымалдау үшін тасымалдау ретінде пайдаланылады. PSP пакеті IP тақырыбынан басталады, одан кейін UDP тақырыбы, содан кейін шифрлау және аутентификация ақпараты бар жеке PSP тақырыбы. Содан кейін түпнұсқа TCP/UDP пакетінің мазмұны тұтастығын растау үшін бақылау сомасы бар соңғы PSP блогымен аяқталады. PSP тақырыбы, сондай-ақ инкапсуляцияланған пакеттің тақырыбы мен деректері пакеттің сәйкестігін растау үшін әрқашан аутентификацияланады. Инкапсуляцияланған пакеттің деректері шифрлануы мүмкін, бұл ретте TCP тақырыбының бір бөлігін ашық күйде қалдырған кезде шифрлауды таңдаулы түрде қолдануға болады (түпнұсқалық бақылауды сақтай отырып), мысалы, транзиттік желі жабдығындағы пакеттерді тексеру мүмкіндігін қамтамасыз ету.
PSP кез келген арнайы кілт алмасу протоколымен байланысты емес, бірнеше пакет пішімінің опцияларын ұсынады және әртүрлі криптографиялық алгоритмдерді пайдалануды қолдайды. Мысалы, шифрлау және аутентификация (аутентификация) үшін AES-GCM алгоритмі және нақты деректерді шифрлаусыз аутентификация үшін AES-GMAC үшін қолдау көрсетіледі, мысалы, деректер құнды емес кезде, бірақ оның жоқтығына көз жеткізу керек. жіберу кезінде бұрмаланғанын және оның дұрыс екенін.
Әдеттегі VPN протоколдарынан айырмашылығы, PSP шифрлауды бүкіл байланыс арнасын емес, жеке желілік қосылымдар деңгейінде пайдаланады, яғни. PSP әртүрлі туннельдік UDP және TCP қосылымдары үшін бөлек шифрлау кілттерін пайдаланады. Бұл тәсіл әртүрлі қолданбалар мен процессорлардан трафикті қатаңырақ оқшаулауға қол жеткізуге мүмкіндік береді, бұл әртүрлі пайдаланушылардың қолданбалары мен қызметтері бір серверде жұмыс істеп тұрған кезде маңызды.
Google PSP протоколын өзінің ішкі байланыстарын қорғау үшін де, Google Cloud клиенттерінің трафигін қорғау үшін де пайдаланады. Протокол бастапқыда Google деңгейіндегі инфрақұрылымдарда тиімді жұмыс істеуге арналған және миллиондаған белсенді желі қосылымдары және секундына жүздеген мың жаңа қосылымдар болған кезде шифрлауды аппараттық жеделдетуді қамтамасыз етуі керек.
Екі жұмыс режиміне қолдау көрсетіледі: «күй» және «жағдайсыз». «Жалпысыз» режимде шифрлау кілттері желілік картаға пакет дескрипторында беріледі, ал шифрды шешу үшін олар пакетте бар SPI (Қауіпсіздік параметрінің индексі) өрісінен негізгі кілтті (256 биттік AES, желіде сақталады) арқылы шығарып алады. желі картасының жады және әр 24 сағат сайын ауыстырылады), бұл желі картасының жадын сақтауға және жабдық жағында сақталған шифрланған қосылымдардың күйі туралы ақпаратты азайтуға мүмкіндік береді. «Күй-күй» режимінде әрбір қосылымға арналған кілттер желілік картада IPsec жүйесінде аппараттық жеделдету қалай жүзеге асырылатынына ұқсас арнайы кестеде сақталады.
PSP TLS және IPsec/VPN протокол мүмкіндіктерінің бірегей комбинациясын қамтамасыз етеді. TLS әр қосылым қауіпсіздігі тұрғысынан Google-ға сәйкес келді, бірақ аппараттық құралдарды жеделдету үшін икемділіктің болмауына және UDP қолдауының болмауына байланысты жарамсыз болды. IPsec протокол тәуелсіздігін қамтамасыз етті және аппараттық жеделдетуді жақсы қолдады, бірақ жеке қосылымдарға кілтті байланыстыруды қолдамады, жасалған туннельдердің аз ғана санына арналған және жадта орналасқан кестелерде толық шифрлау күйін сақтауға байланысты аппараттық жеделдетуді масштабтауда проблемалар болды. желі картасының (мысалы, 10 миллион қосылымды өңдеу үшін 5 ГБ жад қажет).
PSP жағдайында шифрлау күйі туралы ақпарат (кілттер, инициализация векторлары, реттік нөмірлер және т.б.) TX пакетінің дескрипторында немесе желілік карта жадысын алмай-ақ, хост жүйелік жадына көрсеткіш түрінде берілуі мүмкін. Google мәліметтері бойынша, бұрын компанияның инфрақұрылымындағы RPC трафигін шифрлауға есептеу қуатының шамамен 0.7% және жадтың үлкен көлемі жұмсалған. Аппараттық акселерацияны қолдану арқылы PSP енгізу бұл көрсеткішті 0.2%-ға дейін төмендетуге мүмкіндік берді.
Ақпарат көзі: opennet.ru