Google huet d'Ouverture vun de Spezifikatioune ugekënnegt an eng Referenzimplementatioun vum PSP (PSP Security Protocol), benotzt fir de Verkéier tëscht Datenzenteren ze verschlësselen. De Protokoll benotzt eng Traffic Encapsulation Architektur ähnlech wéi IPsec ESP (Encapsulating Security Payloads) iwwer IP, déi Verschlësselung, kryptografesch Integritéitskontroll a Quellauthentifikatioun ubitt. De PSP Implementatiounscode ass an C geschriwwen a verdeelt ënner der Apache 2.0 Lizenz.
Eng Feature vu PSP ass d'Optimiséierung vum Protokoll fir d'Berechnungen ze beschleunegen an d'Laascht op den Zentralprozessor ze reduzéieren andeems d'Verschlësselung an d'Entschlësselungsoperatioune op d'Säit vun de Netzwierkkaarte verschwannen (Offload). Hardware Beschleunegung erfuerdert speziell PSP-kompatibel Netzwierkkaarten. Fir Systemer mat Netzwierkkaarten déi PSP net ënnerstëtzen, gëtt eng Softwareimplementatioun vu SoftPSP proposéiert.
Den UDP Protokoll gëtt als Transport fir Datentransfer benotzt. E PSP Paket fänkt mat engem IP Header un, gefollegt vun engem UDP Header, an dann säin eegene PSP Header mat Verschlësselung an Authentifikatiounsinformatioun. Als nächst gëtt d'Inhalter vum ursprénglechen TCP / UDP Paket ugeschloss, op en Enn mat engem finalen PSP Block mat engem Checksum fir d'Integritéit ze bestätegen. De PSP Header, souwéi den Header an d'Donnéeën vum verschlësselte Paket, ginn ëmmer authentifizéiert fir d'Identitéit vum Paket ze bestätegen. D'Donnéeë vum verschlësselte Paket kënnen verschlësselt ginn, während et méiglech ass selektiv Verschlësselung z'applizéieren, während en Deel vum TCP-Header am Kloer léisst (während d'Authentizitéitskontroll behalen), zum Beispill, fir d'Fähigkeit ze bidden, Päckchen op Transitnetzausrüstung z'inspektéieren.
PSP ass net mat engem spezifesche Schlësselaustauschprotokoll gebonnen, bitt verschidde Paketformatoptiounen an ënnerstëtzt d'Benotzung vu verschiddene kryptographesche Algorithmen. Zum Beispill gëtt Ënnerstëtzung fir den AES-GCM Algorithmus fir Verschlësselung an Authentifikatioun (Authentifikatioun) an AES-GMAC fir Authentifikatioun ouni Verschlësselung vun den aktuellen Donnéeën zur Verfügung gestallt, zum Beispill wann d'Donnéeën net wäertvoll sinn, awer Dir musst sécher sinn datt se net hunn wärend der Iwwerdroung gemanipuléiert gouf an datt et déi richteg ass.déi ursprénglech geschéckt goufen.
Am Géigesaz zu typesche VPN-Protokoller benotzt PSP Verschlësselung um Niveau vun eenzelne Netzwierkverbindungen, an net de ganze Kommunikatiounskanal, d.h. PSP benotzt separat Verschlësselungsschlëssel fir verschidden tunneléiert UDP an TCP Verbindungen. Dës Approche mécht et méiglech eng méi streng Isolatioun vum Traffic vu verschiddenen Uwendungen a Prozessoren z'erreechen, wat wichteg ass wann Uwendungen a Servicer vu verschiddene Benotzer um selwechte Server lafen.
Google benotzt de PSP Protokoll souwuel fir seng eege intern Kommunikatioun ze schützen an de Traffic vu Google Cloud Clienten ze schützen. De Protokoll ass ufanks entwéckelt fir effektiv an Google-Niveau Infrastrukturen ze schaffen a soll d'Hardware Beschleunegung vun der Verschlësselung an der Präsenz vu Millioune vun aktive Netzwierkverbindungen an der Grënnung vun Honnerte vun Dausende vun neie Verbindungen pro Sekonn ubidden.
Zwee Operatiounsmodi ginn ënnerstëtzt: "stateful" an "stateless". Am "stateless" Modus ginn d'Verschlësselungsschlësselen op d'Netzwierkskaart am Paketdeskriptor iwwerdroen, a fir d'Entschlësselung gi se aus dem SPI (Security Parameter Index) Feld extrahéiert, deen am Paket präsent ass mat engem Masterschlëssel (256-Bit AES, gespäichert an d'Erënnerung vun der Reseau Kaart an ersat all 24 Stonnen), déi erlaabt Iech Reseau Kaart Erënnerung ze retten an Informatiounen iwwert den Zoustand vun verschlësselte Verbindungen op der Equipement Säit gespäichert minimiséieren. Am "stateful" Modus sinn d'Schlëssel fir all Verbindung op der Netzwierkkaart an enger spezieller Tabelle gespäichert, ähnlech wéi d'Hardwarebeschleunigung an IPsec ëmgesat gëtt.
PSP bitt eng eenzegaarteg Kombinatioun vun TLS an IPsec/VPN Protokollfäegkeeten. TLS passt Google a punkto Per-Verbindungssécherheet, awer war net gëeegent wéinst sengem Mangel u Flexibilitéit fir Hardwarebeschleunigung a Mangel u UDP Support. IPsec huet Protokollonofhängegkeet geliwwert an d'Hardwarebeschleunigung gutt ënnerstëtzt, awer huet keng Schlësselbindung un eenzel Verbindungen ënnerstëtzt, war fir nëmmen eng kleng Unzuel vun erstallten Tunnel entworf, an hat Problemer mat der Hardwarebeschleunigung ze skaléieren wéinst der Späichere vum vollen Verschlësselungszoustand an Dëscher an der Erënnerung vun der Netzwierkkaart (zum Beispill, 10 GB Erënnerung ass néideg fir 5 Millioune Verbindungen ze handhaben).
Am Fall vu PSP kann Informatioun iwwer den Zoustand vun der Verschlësselung (Schlëssel, Initialiséierungsvektoren, Sequenznummeren, etc.) am TX Packet Descriptor iwwerdroen ginn oder a Form vun engem Pointer fir d'Host System Memory, ouni d'Netzwierkskaart Erënnerung ze besetzen. Laut Google sinn ongeféier 0.7% vun der Rechenkraaft an eng grouss Quantitéit un Erënnerung virdru fir d'Verschlësselung vum RPC-Traffic an der Infrastruktur vun der Firma ausginn. D'Aféierung vu PSP duerch d'Benotzung vun der Hardwarebeschleunigung huet et méiglech gemaach dës Figur op 0.2% ze reduzéieren.
Source: opennet.ru