Googles PSP wird Open Source: Das Security Protocol soll neuer Standard werden
Das an TLS orientierte PSP Security Protocol für Datacenter-Traffic ist frei verfügbar. PSP setzt beim Verschlüsseln auf skalierbare Hardwareauslagerung.
Googles PSP ist nun als Open-Source-Protokoll verfügbar. Das PSP Security Protocol (rekursiv für PSP) dient Google zum Verschlüsseln des Traffics zwischen verschiedenen Datenzentren. Da das Ver- und Entschlüsseln der Remote Procedure Calls (RPC) etwa 0,7 Prozent von Googles Rechenleistung und ebenso viel RAM beanspruchte, entwickelte das Unternehmen vor knapp zehn Jahren PSP. Mit PSP lagert man das Verschlüsseln auf Netzwerk Interface Karten (NICs) aus. PSP wird im Linux-Produktionskernel von Google unterstützt und nach eigener Aussage mittlerweile in fast allen Datentransits eingesetzt. Das Verwenden von PSP spart Google laut eigener Aussage 0,5 Prozent seiner Gesamtrechenleistung ein.
Sicher und Offload-freundlich? Dann lieber hausgemacht.
Google entwickelte PSP aufgrund von Skalierungsproblemen. Man benötigte ein Verschlüsselungsprotokoll, das Millionen von TCP-Verbindungen und im Spitzenbetrieb bis zu 100.000 Neuverbindungen pro Sekunde unterstützt. Transport Layer Security (TLS) empfand Google zwar als sicher, aber nicht offload-freundlich, da hier der Verbindungsstatus im Kernel und der Offload-Zustand in der Hardware zu eng verknüpft seien.
Internet Protocol Security (IPsec) lässt sich zwar hardwareseitig auslagern, skaliert aber schlecht mit großen Verbindungsmengen. Als einen Grund dafür führt Google an, dass der vollständige Verschlüsselungsstatus gespeichert wird. 10 Millionen Verbindungen mit einem gerade mal 256 Byte großem Eintrag würden dabei bereits 5 Gigabyte Arbeitsspeicher belegen. Auch die fehlende Unterstützung von Layer-4-Verbindungen machten IPsec für Googles Zwecke unattraktiv.
(Bild: Google)
Verbindungssicherheit nach Maß
Daher schuf Google mit PSP ein eigenes Protokoll. PSP ist an TLS angelehnt, Google spricht sich aber für dessen Transportunabhängigkeit, Sicherheit pro Verbindung und das gute Auslagern aus. TLS und IPsec würden zwar für Verbindungen mit Nutzern oder das Verschlüsseln von Seite-zu-Seite weiter genutzt, für den eigenen zwischen den Datenzentren jedoch ausschließlich PSP. Wie andere Protokolle auch benötigt PSP beide Verbindungsenden, um zu funktionieren. Für Implementierungen mit neuer und alter Hardware bietet Google mit SoftPSP noch eine Software-Bereitstellung, sodass auch alte Systeme mit PSP-fähigen NICs kommunizieren können.
Ein Protokoll sie alle zu verschlüsseln
Google hofft, PSP mit dem Schritt zu Open Source als Standard zu etablieren und zielt auch auf die Akzeptanz bei NIC-Anbietern. Das PSP Security Protocol ist neben dem Service Assured OSS ein weiterer Bestandteil von Googles Tech-Stack, der offen verfügbar wird. Die Original-Ankündigung findet sich in Googles Cloud Blog. Im GitHub-Repository von PSP finden Interessierte laut Google Informationen zur Architektur des Protokolls, Referenzen zur Software-Implementation und einige Anwendungsbeispiele.
(pst)
