From: Sergey Matveev <stargrave@stargrave.org>
Date: Mon, 24 Feb 2025 14:41:58 +0000 (+0300)
Subject: Google ALTS
X-Git-Url: http://www.git.stargrave.org/?a=commitdiff_plain;h=6fe2e247df9a1126fb2a97a5697890b81cc047b2;p=stargrave-blog.git

Google ALTS

https://cloud.google.com/docs/security/encryption-in-transit/application-layer-transport-security
Вообще никогда не слышал прежде, но в Google свой собственный "TLS"
используется. Я был в курсе про IPsec на стыках из ЦОДов, но не более.
Вообще я скорее был бы удивлён если бы TLS использовался внутри. Судя по
описанию ALTS, то это протокол в котором Protocol Buffers вместо X.509
ASN.1 используются -- одобряю, разумно. У них многочисленные tradeoff-ы
явно отмечены, типа отсутствия PFS, сокрытия идентификаторов участников,
возможность KCI. Но я прекрасно понимаю, что для их внутреннего
использования и очень частого обновления сертификатов участников, всё
это разумные компромиссы. Они не поддерживают Ed25519 сертификаты в
Web/почте (только из-за них я ещё держал ECDSA сертификаты), но при
этом, внутри конечно же активно используют X25519.
Плюс моношифр в виде AES-GCM.
---