Escuchar "código abierto", "PSP" y "seguridad" me entusiasmó con mi reacción inicial al pensar que se trataba del Procesador de seguridad de plataforma (PSP) de AMD, aunque ese no es el caso aquí. El PSP de Google anunciado hoy es el "Protocolo de seguridad de PSP" y está diseñado para lidiar con la descarga de hardware criptográfico a escala del centro de datos y es utilizado por Google que ya está en producción.
Los ingenieros de Google decidieron diseñar su propio protocolo compatible con la descarga, ya que TLS no era lo suficientemente compatible con la descarga y carecía de compatibilidad con UDP, al mismo tiempo que se encontraba con las deficiencias de IPsec. PSP como su solución se describe como un protocolo independiente del transporte similar a TLS para seguridad por conexión y fácil de descargar.
Amin Vahdat del equipo de Google Cloud explica PSP:
PSP está diseñado intencionalmente para cumplir con los requisitos del tráfico de centros de datos a gran escala. No exige un protocolo de intercambio de claves específico y ofrece pocas opciones para el formato de paquete y los algoritmos criptográficos. Habilita la seguridad por conexión al permitir una clave de cifrado por conexión de capa 4 (como una conexión TCP). Admite la operación sin estado porque el estado de cifrado se puede pasar al dispositivo en el descriptor de paquetes cuando se transmiten paquetes y se puede derivar cuando recibir paquetes utilizando un índice de parámetros de seguridad (SPI) y una clave maestra en el dispositivo. Esto nos permite mantener un estado mínimo en el hardware, evitando la explosión del estado del hardware en comparación con las tecnologías típicas de cifrado con estado que mantienen grandes tablas en el dispositivo.
PSP utiliza la encapsulación del Protocolo de datagramas de usuario (UDP) con un encabezado y un tráiler personalizados. Un paquete PSP comienza con el encabezado IP original, seguido de un encabezado UDP en un puerto de destino preespecificado, seguido de un encabezado PSP que contiene la información PSP, seguido del paquete TCP/UDP original (incluido el encabezado y la carga) y finaliza con un Tráiler de PSP que contiene un valor de suma de comprobación de integridad (ICV). El paquete de capa 4 (encabezado y carga útil) se puede encriptar o autenticar, en función de una compensación proporcionada por el usuario llamada Crypt Offset. Este campo se puede usar para, por ejemplo, dejar parte del encabezado TCP autenticado pero sin cifrar en tránsito mientras se mantiene el resto del paquete cifrado para admitir el muestreo y la inspección de paquetes en la red si es necesario.
Google parcheó PSP en su kernel de Linux de producción, su pila de virtualización de red Andromeda y su sistema de red Snap. Se informa que la descarga criptográfica de PSP ahorra alrededor del 0,5% de la potencia de procesamiento general de Google.
Hoy están haciendo que el Protocolo de seguridad de PSP sea de código abierto para fomentar su adopción. Han publicado su especificación de arquitectura, una implementación de software de referencia y un conjunto de casos de prueba.
Obtenga más información sobre PSP a través del blog de Google Cloud o vaya directamente a GitHub para el proyecto de código abierto con licencia Apache 2.0.
Fuente: phoronix | somoslibres
