Google dia nanambara ny fanokafana ny famaritana sy ny fampiharana ny PSP (PSP Security Protocol), ampiasaina amin'ny fanafenana ny fifamoivoizana eo amin'ny foibe data. Ny protocole dia mampiasa rafitra encapsulation fifamoivoizana mitovy amin'ny IPsec ESP (Encapsulating Security Payloads) amin'ny IP, manome encryption, fanaraha-maso ny fahamendrehana kriptografika ary ny fanamarinana loharano. Ny kaody fampiharana PSP dia voasoratra amin'ny C ary zaraina amin'ny alΓ lan'ny lisansa Apache 2.0.
Ny endri-javatra iray amin'ny PSP dia ny fanatsarana ny protocol mba hanafainganana ny kajy sy ny fampihenana ny enta-mavesatra eo amin'ny processeur afovoany amin'ny alΓ lan'ny fampandehanana ny encryption sy ny decryption amin'ny sisin'ny karatra tambajotra (offload). Ny fanafainganana ny fitaovana dia mitaky karatra tambajotra mifanaraka amin'ny PSP manokana. Ho an'ny rafitra misy karatra tambajotra izay tsy mahazaka PSP, dia aroso ny fampiharana rindrambaiko SoftPSP.
Ny protocol UDP dia ampiasaina ho fitaterana amin'ny famindrana angona. Ny fonosana PSP dia manomboka amin'ny lohatenin'ny IP, arahin'ny lohatenin'ny UDP, ary avy eo ny lohatenin'ny PSP manokana misy fampahalalana momba ny fanafenana sy fanamarinana. Manaraka, ampiarahina ny votoatin'ny fonosana TCP/UDP tany am-boalohany, mifarana amin'ny sakana PSP farany misy checksum hanamafisana ny fahamendrehana. Ny lohatenin'ny PSP, ary koa ny lohapejy sy ny angon-drakitra ao amin'ny fonosana voarakitra, dia voamarina foana mba hanamafisana ny mombamomba ny fonosana. Ny angon-drakitra ao amin'ny fonosana voafono dia azo atao encryption, raha azo atao ny mampihatra ny encryption raha mamela ampahany amin'ny lohatenin'ny TCP ao amin'ny mazava (raha mitazona ny fanaraha-maso ny maha-azo itokiana), ohatra, mba hanomezana fahafahana hijery ny fonosana amin'ny fitaovan'ny tambajotra fitaterana.
Ny PSP dia tsy mifamatotra amin'ny protocole fifanakalozam-bola manokana, manolotra safidy endrika fonosana maromaro ary manohana ny fampiasana algorithm kriptografika samihafa. Ohatra, ny fanohanana dia omena ho an'ny algorithm AES-GCM ho an'ny encryption sy authentication (authentication) ary AES-GMAC ho an'ny fanamarinana tsy misy encryption ny tena angon-drakitra, ohatra rehefa tsy misy vidiny ny angon-drakitra, saingy mila miantoka ianao fa tsy manana izany. nosoloina nandritra ny fandefasana ary io no marina, izay nalefa tany am-boalohany.
Tsy toy ny protocols VPN mahazatra, ny PSP dia mampiasa encryption amin'ny haavon'ny fifandraisan'ny tambajotra tsirairay, fa tsy ny fantsom-pifandraisana manontolo, i.e. PSP dia mampiasa fanalahidy fanafenana misaraka ho an'ny fifandraisana UDP sy TCP samy hafa. Ity fomba fiasa ity dia ahafahana manatratra ny fitokanana henjana kokoa amin'ny fifamoivoizana amin'ny fampiharana sy processeur samihafa, izay zava-dehibe rehefa mandeha amin'ny lohamilina iray ny fampiharana sy serivisy an'ny mpampiasa samihafa.
Mampiasa ny protocol PSP i Google mba hiarovana ny fifandraisany anatiny sy hiarovana ny fifamoivoizana ataon'ny mpanjifa Google Cloud. Ny protocole dia natao tamin'ny voalohany mba hiasa tsara amin'ny fotodrafitrasa ambaratonga Google ary tokony hanome fanafainganana ny fanafenana fitaovana amin'ny fisian'ny fifandraisana an-tambajotra mavitrika an-tapitrisany sy ny fananganana fifandraisana vaovao an'aliny isan-tsegondra.
Fomba fiasa roa no tohana: "stateful" sy "stateless". Amin'ny fomba "tsy misy fanjakana", ny fanalahidin'ny encryption dia ampitaina amin'ny karatra tambajotra ao amin'ny packet descriptor, ary ho an'ny decryption dia nesorina tao amin'ny saha SPI (Security Parameter Index) misy ao anaty fonosana mampiasa fanalahidy master (256-bit AES, voatahiry ao anaty fonosana. ny fahatsiarovana ny karatra tambajotra ary nosoloina isaky ny 24 ora), izay ahafahanao mitahiry fahatsiarovana karatra tambajotra ary manamaivana ny fampahalalana momba ny toetry ny fifandraisana voatahiry eo amin'ny lafiny fitaovana. Amin'ny fomba "stateful", ny fanalahidy ho an'ny fifandraisana tsirairay dia voatahiry ao amin'ny karatra tambajotra amin'ny latabatra manokana, mitovy amin'ny fomba fampiharana ny fanamafisam-peo amin'ny IPsec.
Ny PSP dia manome fitambarana tokana amin'ny fahaiza-manao protocol TLS sy IPsec/VPN. Ny TLS dia nifanaraka tamin'ny Google tamin'ny resaka fiarovana isaky ny fifandraisana, saingy tsy nety noho ny tsy fahampian'ny fahafaha-manaony amin'ny fanafainganana ny fitaovana sy ny tsy fisian'ny fanohanana UDP. IPsec dia nanome ny fahaleovan-tena protocole ary nanohana tsara ny fanafainganana ny hardware, saingy tsy nanohana ny famatorana fanalahidy amin'ny fifandraisana manokana, dia natao ho an'ny tonelina vitsivitsy ihany no noforonina, ary nanana olana tamin'ny fampitomboana ny fanafainganana ny fitaovana noho ny fitehirizana ny fanjakana feno encryption amin'ny tabilao hita ao amin'ny fitadidiana. amin'ny karatra tambajotra (ohatra, 10 GB ny fitadidiana dia takiana mba hiatrehana fifandraisana 5 tapitrisa).
Raha ny PSP, ny fampahalalana momba ny toetry ny encryption (key, initialization vectors, sequence number, sns.) dia azo ampitaina ao amin'ny TX packet descriptor na amin'ny endrika tondro ho an'ny fitadidiana rafitra fampiantranoana, tsy misy fitadidiana karatra tambajotra. Araka ny filazan'i Google, eo amin'ny 0.7% eo ho eo amin'ny herin'ny informatika sy fitadidiana be dia be no lany teo aloha tamin'ny fanafenana ny fifamoivoizana RPC tao amin'ny fotodrafitrasan'ny orinasa. Ny fampidirana ny PSP amin'ny alΓ lan'ny fampiasana ny fanamafisam-peo dia nahatonga ny fampihenana ity tarehimarika ity ho 0.2%.
Source: opennet.ru