Mendengar "sumber terbuka", "PSP", dan "keamanan" semuanya membuat saya bersemangat dengan reaksi awal saya berpikir itu tentang AMD Platform Security Processor (PSP) meskipun itu tidak terjadi di sini. PSP Google yang diumumkan hari ini adalah "Protokol Keamanan PSP" dan dirancang untuk menangani pembongkaran perangkat keras kriptografi pada skala pusat data dan digunakan oleh Google yang sudah dalam produksi.
Insinyur Google merancang protokol ramah-offload mereka sendiri dengan TLS tidak cukup ramah-offload dan kurang dukungan UDP sementara juga menghadapi kekurangan IPsec. PSP sebagai solusi mereka digambarkan sebagai protokol transport-independen seperti TLS untuk keamanan per-koneksi dan ramah-offload.
Amin Vahdat dari tim Google Cloud menjelaskan PSP:
PSP sengaja dirancang untuk memenuhi persyaratan lalu lintas pusat data berskala besar. Itu tidak mengamanatkan protokol pertukaran kunci tertentu dan menawarkan beberapa pilihan untuk format paket dan algoritma kriptografi. Ini memungkinkan keamanan per koneksi dengan mengizinkan kunci enkripsi per koneksi layer-4 (seperti koneksi TCP.) Ini mendukung operasi stateless karena status enkripsi dapat diteruskan ke perangkat di deskriptor paket saat mentransmisikan paket dan dapat diturunkan saat menerima paket menggunakan Security Parameter Index (SPI) dan kunci master di perangkat. Hal ini memungkinkan kami untuk mempertahankan status minimal di perangkat keras, menghindari ledakan status perangkat keras dibandingkan dengan teknologi enkripsi stateful biasa yang mempertahankan tabel besar di perangkat.
PSP menggunakan enkapsulasi User Datagram Protocol (UDP) dengan header dan trailer khusus. Paket PSP dimulai dengan header IP asli, diikuti oleh header UDP pada port tujuan yang telah ditentukan, diikuti oleh header PSP yang berisi informasi PSP, diikuti oleh paket TCP/UDP asli (termasuk header dan payload), dan diakhiri dengan a Trailer PSP yang berisi Nilai Integritas Checksum (ICV). Paket layer-4 (header dan payload) dapat dienkripsi atau diautentikasi, berdasarkan offset yang disediakan pengguna yang disebut Crypt Offset. Bidang ini dapat digunakan untuk, misalnya, membiarkan bagian dari header TCP diautentikasi namun tidak terenkripsi dalam perjalanan sambil menyimpan sisa paket yang dienkripsi untuk mendukung pengambilan sampel paket dan inspeksi di jaringan jika perlu. Google menambal PSP ke dalam kernel Linux produksi mereka, tumpukan virtualisasi jaringan Andromeda mereka, dan sistem jaringan Snap mereka. Pembongkaran kriptografi PSP dilaporkan menghemat sekitar 0,5% dari keseluruhan daya pemrosesan Google.
Hari ini mereka membuat Protokol Keamanan PSP open-source untuk mendorong adopsi lebih lanjut. Mereka telah menerbitkan spesifikasi arsitektur mereka, implementasi perangkat lunak referensi, dan serangkaian kasus uji.
Pelajari lebih lanjut tentang PSP melalui Google Cloud Blog atau langsung ke GitHub untuk proyek sumber terbuka berlisensi Apache 2.0.
Itulah berita seputar Google Mempublikasikan Protokol Keamanan PSP Sumber Terbuka, semoga bermanfaat. Disadur dari Phoronix.com.