Der Linux-Kernel wird in der kommenden Version 6.18 eine neue Technologie zur Verschlüsselung von Netzwerkverbindungen integrieren. Es handelt sich um das von Google entwickelte PSP Security Protocol (PSP), das speziell für den Einsatz in großen Rechenzentren konzipiert wurde. Die Integration markiert einen wichtigen Schritt, um eine effizientere Alternative zu bestehenden Standards wie IPsec zu etablieren.
Wichtige Fakten
- Das PSP-Verschlüsselungsprotokoll von Google wird in den Linux-Kernel 6.18 aufgenommen.
- Die Technologie dient der Absicherung von TCP-Verbindungen und ist für große Rechenzentren optimiert.
- PSP wurde als einfachere und skalierbarere Alternative zu IPsec entwickelt.
- Die erste Implementierung unterstützt die Hardware-Beschleunigung auf NVIDIA Mellanox MLX5-Netzwerkkarten.
Ein neues Protokoll für Rechenzentren
Das PSP Security Protocol ist eine von Google entwickelte Verschlüsselungsschicht, die direkt auf dem Internet Protocol (IP) aufsetzt. Ihr Hauptzweck ist die Sicherung von Daten während der Übertragung über TCP-Verbindungen. Die Technologie teilt zwar einige grundlegende Konzepte mit dem etablierten IPsec-Standard, wurde aber von Grund auf für die spezifischen Anforderungen moderner, großflächiger Rechenzentrumsumgebungen neu gestaltet.
Google selbst nutzt PSP bereits seit einiger Zeit in seiner eigenen Infrastruktur. Im Jahr 2022 entschied sich das Unternehmen, die Architekturspezifikation des Protokolls zu veröffentlichen und es damit der Open-Source-Community zugänglich zu machen. Dieser Schritt ermöglichte die nun anstehende Integration in den Linux-Kernel.
Hintergrund: PSP vs. IPsec
IPsec (Internet Protocol Security) ist ein weit verbreiteter Standard zur Sicherung der Kommunikation auf der Netzwerkebene. Laut Google wurde PSP jedoch entwickelt, um einige der Komplexitäten von IPsec zu überwinden und eine Lösung zu bieten, die einfacher zu verwalten, besser zu skalieren und funktionaler für die dynamischen Anforderungen von Cloud-Umgebungen ist.
Der Weg in den Linux-Kernel
Die Aufnahme des PSP-Codes in den Linux-Kernel erfolgte nach einem intensiven Überprüfungsprozess. Insgesamt durchlief der Vorschlag dreizehn Revisionsrunden, bevor er für die Aufnahme in den sogenannten „net-next“-Entwicklungszweig akzeptiert wurde. Dies ist der letzte Schritt, bevor neuer Netzwerkcode in eine offizielle Kernel-Version einfließt.
Die Entwickler haben den Code erfolgreich mit PSP-fähigen CX7-Netzwerkkarten getestet, was die Praxistauglichkeit der Implementierung unterstreicht. Mit der Integration in den Kernel 6.18 wird die Technologie einem breiteren Kreis von Entwicklern und Systemadministratoren zur Verfügung stehen.
Wichtige Unterscheidung
Das PSP-Sicherheitsprotokoll von Google sollte nicht mit dem AMD Platform Security Processor (PSP) verwechselt werden. Obwohl sie dieselbe Abkürzung verwenden, handelt es sich um zwei völlig unterschiedliche Technologien. AMDs PSP ist ein in die CPU integrierter Sicherheits-Co-Prozessor.
Technische Umsetzung und Fokus auf Hardware
Ein zentrales Merkmal von PSP ist der Fokus auf Hardware-Beschleunigung (Offloading). Das Protokoll ist darauf ausgelegt, die rechenintensive Verschlüsselungsarbeit von der Haupt-CPU auf spezialisierte Netzwerk-Hardware auszulagern. Dies steigert die Effizienz und reduziert die Latenz, was in Rechenzentren mit hohem Datenaufkommen entscheidend ist.
Die Rolle als TLS-Alternative
Laut den Entwicklern ist ein Hauptanwendungsfall die Nutzung von PSP als Ersatz für TLS (Transport Layer Security) auf der Anwendungsebene. Daniel Zahka, einer der beteiligten Entwickler, erklärte in der Merge-Anfrage, dass PSP aufgrund seiner überlegenen Offload-Eigenschaften besonders interessant sei.
„Ich bin vor allem daran interessiert, es als TLS-Ersatz zu verwenden, wegen seiner überlegenen Offload-Eigenschaften. [...] Wir beabsichtigen, einen TLS-Handshake durchzuführen und basierend auf den Fähigkeiten beider Endpunkte den Wechsel zu PSP auszuhandeln.“
Dieser Ansatz kombiniert die bewährte Aushandlungssicherheit von TLS mit der Performance-Steigerung durch die Hardware-beschleunigte PSP-Verschlüsselung für den eigentlichen Datentransfer. Eine reine Software-Implementierung von PSP ist bewusst nicht enthalten, da hierfür das etablierte Software-TLS bereits eine schnellere Lösung darstellt.
Erste Unterstützung für NVIDIA-Hardware
Die initiale Implementierung im Kernel konzentriert sich auf die Integration mit dem Treiber für NVIDIA Mellanox MLX5-Netzwerkkarten. Diese Karten sind in Rechenzentren weit verbreitet und verfügen über die notwendigen Fähigkeiten, um die PSP-Verschlüsselung hardwareseitig zu beschleunigen. Es wird erwartet, dass in Zukunft auch Treiber für Hardware anderer Hersteller Unterstützung für das Protokoll erhalten werden.
- Fokus: Hardware-Beschleunigung zur Entlastung der CPU.
- Anwendungsfall: Effizienterer Ersatz für TLS in kontrollierten Umgebungen.
- Ablauf: Aushandlung über einen initialen TLS-Handshake.
- Erste Hardware: NVIDIA Mellanox MLX5-Netzwerkkarten.
Ausblick und Bedeutung für die Industrie
Die Aufnahme von Googles PSP in den Linux-Kernel ist ein bedeutender Schritt für die Netzwerksicherheit in Rechenzentren. Administratoren von großen Cloud-Infrastrukturen erhalten eine neue, leistungsstarke Option zur Absicherung ihres internen Datenverkehrs. Insbesondere Unternehmen, die auf hohe Skalierbarkeit und geringe Latenz angewiesen sind, könnten von der Umstellung profitieren.
Da die Funktionalität nun direkt im Betriebssystemkern verankert ist, wird die Adaption durch Software und Hardware-Hersteller erheblich erleichtert. Es ist davon auszugehen, dass weitere Netzwerkkartenhersteller folgen und PSP in ihre Produkte integrieren werden, um wettbewerbsfähig zu bleiben. Die Veröffentlichung im Linux-Kernel 6.18, der in den kommenden Monaten erwartet wird, legt den Grundstein für eine breitere Verfügbarkeit dieser Technologie.
