Linuxeden开源社区请注意,这并非指 AMD 的平台安全处理器(PSP),而是 Google 的 PSP 安全协议(PSP)用于加密 TCP 网络连接中的数据,现已准备好用于主线内核。这项针对网络连接的初始 PSP 加密支持预计将随即将到来的 Linux 6.18 内核一同发布。
经过十三轮审查,这项用于通过 TCP 连接加密传输数据的 Google PSP 安全协议支持预计将被合并到 Linux 6.18 内核中。该内核代码已成功在支持 PSP 的 CX7 网卡上进行测试。
谷歌的 PSP 与 IPsec ESP 共享一些概念,它是在 IP 层上为大规模数据中心需求设计的加密封装层。早在 2022 年,谷歌就在其数据中心中使用 PSP 安全协议,并于当年开源了该架构规范。
在 IPsec 的基础上,谷歌为 PSP 设计了更高的简易性、更好的功能性和增强的可扩展性。更多关于 PSP 的背景信息可以在此次文档补丁中找到。此外还有官方的谷歌 PSP 架构规范(PDF)。
Daniel Zahka 在已提交到 net-next 的合并请求中写道:
“这是 Jakub Kicinski 一年前发布的 PSP RFC 的 v13 版本。自 v1 以来,总体发展包括对 packetdrill 的分支,增加了对 PSP 的支持,以及一些测试用例,还有 PSP 密钥交换和连接升级的实现集成到了 fbthrift RPC 库中。”
…该协议可以在多种模式下工作,包括隧道模式。但我主要感兴趣的是将其用作 TLS 的替代品,因为它具有卓越的卸载特性。因此,这个补丁做了三件事:
– 添加了”核心” PSP 代码
PSP 以卸载为中心,需要一些额外的关注和护理,所以代码的第一部分暴露了设备信息。这部分可以被 xfrm、隧道等 PSP 实现重用。– 以 TLS 风格集成 TCP
重用 TLS 卸载中的一些现有概念,例如将加密状态附加到套接字、将 skbs 标记为”已解密”、出站验证。PSP 不规定密钥交换协议。为了更高效地使用 PSP 进行 TLS 卸载,我们打算执行 TLS 握手(在同一 TCP 连接中”内联”)并根据两端的能力协商切换到 PSP。这也是为什么我不包括软件实现的原因。没有人会在生产中使用它,软件 TLS 更快,它有更大的加密记录。– mlx5 实现”
在初始补丁中,只有 NVIDIA-Mellanox MLX5 网络驱动被适配以使用 PSP。
随着这个合并本周进入 net-next 网络子系统树,这个初始的 PSP 加密支持预计将作为即将到来的 Linux 6.18 合并窗口的一部分提交。
转自 Linux Ready To Upstream Support For Google’s PSP Encryption For TCP Connections – Phoronix