Google, veri merkezleri arasındaki trafiği şifrelemek için kullanılan PSP'nin (PSP Güvenlik Protokolü) spesifikasyonlarının ve referans uygulamasının açıldığını duyurdu. Protokol, IP üzerinden IPsec ESP'ye (Kapsüllenen Güvenlik Yükleri) benzer bir trafik kapsülleme mimarisi kullanır ve şifreleme, kriptografik bütünlük kontrolü ve kaynak kimlik doğrulaması sağlar. PSP uygulama kodu C dilinde yazılmıştır ve Apache 2.0 lisansı altında dağıtılmaktadır.
PSP'nin bir özelliği, şifreleme ve şifre çözme işlemlerini ağ kartlarının yanına taşıyarak (boşaltma) hesaplamaları hızlandırmak ve merkezi işlemci üzerindeki yükü azaltmak için protokolün optimizasyonudur. Donanım hızlandırma, özel PSP uyumlu ağ kartları gerektirir. PSP'yi desteklemeyen ağ kartlarına sahip sistemler için SoftPSP'nin yazılım uygulaması önerilmektedir.
UDP protokolü veri aktarımı için aktarım olarak kullanılır. Bir PSP paketi bir IP başlığıyla başlar, ardından bir UDP başlığı gelir ve ardından şifreleme ve kimlik doğrulama bilgilerini içeren kendi PSP başlığı gelir. Daha sonra, orijinal TCP/UDP paketinin içeriği eklenir ve bütünlüğü onaylamak için bir sağlama toplamına sahip son bir PSP bloğuyla sona erer. Kapsüllenmiş paketin başlığı ve verilerinin yanı sıra PSP başlığı da her zaman paketin kimliğini doğrulamak için doğrulanır. Kapsüllenmiş paketin verileri şifrelenebilirken, TCP başlığının bir kısmını açıkta bırakırken (orijinallik kontrolünü korurken) seçici olarak şifreleme uygulamak mümkündür; örneğin, transit ağ ekipmanındaki paketleri inceleme yeteneği sağlanır.
PSP herhangi bir özel anahtar değişim protokolüne bağlı değildir, çeşitli paket formatı seçenekleri sunar ve farklı şifreleme algoritmalarının kullanımını destekler. Örneğin, şifreleme ve kimlik doğrulama (kimlik doğrulama) için AES-GCM algoritması ve gerçek verilerin şifrelenmeden kimlik doğrulaması için AES-GMAC desteği sağlanır; örneğin veriler değerli olmadığında, ancak bunların değerli olmadığından emin olmanız gerekir. iletim sırasında tahrif edildiğini ve orijinal olarak gönderilenin doğru olduğunu.
Tipik VPN protokollerinden farklı olarak PSP, tüm iletişim kanalında değil, bireysel ağ bağlantıları düzeyinde şifreleme kullanır; PSP, farklı tünelli UDP ve TCP bağlantıları için ayrı şifreleme anahtarları kullanır. Bu yaklaşım, farklı uygulamalardan ve işlemcilerden gelen trafiğin daha sıkı bir şekilde izole edilmesini mümkün kılar; bu, farklı kullanıcıların uygulamaları ve hizmetleri aynı sunucuda çalıştığında önemlidir.
Google, hem kendi dahili iletişimlerini hem de Google Cloud istemcilerinin trafiğini korumak için PSP protokolünü kullanır. Protokol başlangıçta Google düzeyindeki altyapılarda etkin bir şekilde çalışmak üzere tasarlandı ve milyonlarca aktif ağ bağlantısının varlığında ve saniyede yüz binlerce yeni bağlantının kurulması durumunda şifrelemenin donanımsal olarak hızlandırılmasını sağlamalıdır.
İki çalışma modu desteklenir: “durum bilgisi olan” ve “durum bilgisi olmayan”. "Durumsuz" modda, şifreleme anahtarları paket tanımlayıcıdaki ağ kartına iletilir ve şifre çözme için, bir ana anahtar (256 bit AES, ağ kartının hafızasını korur ve her 24 saatte bir değiştirilir), bu da ağ kartı hafızasından tasarruf etmenize ve ekipman tarafında saklanan şifreli bağlantıların durumu hakkındaki bilgileri en aza indirmenize olanak tanır. "Durum bilgisi olan" modda, her bağlantının anahtarları, IPsec'te donanım hızlandırmanın uygulanmasına benzer şekilde ağ kartında özel bir tabloda saklanır.
PSP, TLS ve IPsec/VPN protokol özelliklerinin benzersiz bir kombinasyonunu sağlar. TLS, bağlantı başına güvenlik açısından Google'a uygundu ancak donanım hızlandırma konusunda esneklik eksikliği ve UDP desteğinin olmaması nedeniyle uygun değildi. IPsec, protokol bağımsızlığını sağladı ve donanım hızlandırmayı iyi bir şekilde destekledi, ancak bireysel bağlantılara anahtar bağlamayı desteklemedi, yalnızca az sayıda oluşturulan tünel için tasarlandı ve tam şifreleme durumunun bellekte bulunan tablolarda saklanması nedeniyle donanım hızlandırmayı ölçeklendirmede sorunlar yaşadı. ağ kartının (örneğin, 10 milyon bağlantıyı yönetmek için 5 GB bellek gerekir).
PSP durumunda, şifreleme durumu hakkındaki bilgiler (anahtarlar, başlatma vektörleri, sıra numaraları vb.), ağ kartı belleğini işgal etmeden TX paket tanımlayıcısında veya bir işaretçi biçiminde ana sistem belleğine iletilebilir. Google'a göre, daha önce bilgi işlem gücünün yaklaşık %0.7'si ve büyük miktarda bellek, şirketin altyapısındaki RPC trafiğini şifrelemek için harcanıyordu. PSP'nin donanım hızlandırma kullanılarak kullanıma sunulması, bu rakamın %0.2'ye düşürülmesini mümkün kıldı.
Kaynak: opennet.ru