Netflix Maatskappy vir die toets van die FreeBSD-kernvlak-implementering van TLS (KTLS), wat voorsiening maak vir 'n beduidende toename in enkripsieprestasie vir TCP-voetstukke. Ondersteun versnelling van enkripsie van oorgedra data met behulp van TLS 1.0 en 1.2 protokolle wat na die sok gestuur word met die skryf-, aio_write- en sendfile-funksies.
Sleuteluitruiling op kernvlak word nie ondersteun nie en die verbinding moet eers in die gebruikerruimte tot stand gebring en onderhandel word. Om die sessiesleutel wat tydens die verbindingsonderhandelingsproses vir voetstukke verkry is na die kern oor te dra, is die TCP_TXTLS_ENABLE opsie bygevoeg, na aktivering waarvan alle data wat na die sok gestuur word, in TLS-rame ingekapsuleer sal word deur die gespesifiseerde sleutel te gebruik. Om diensboodskappe te stuur, byvoorbeeld om 'n verbinding te onderhandel, moet jy die sendmsg-funksie met die TLS_SET_RECORD_TYPE rekordtipe gebruik.
Twee hoofmetodes om TLS-rame te enkripteer word ondersteun: sagteware en ifnet (met hardewareversnelling van netwerkkaarte). Die keuse van metode word uitgevoer met behulp van
socket opsies TCP_TXTLS_MODE. Die sagtewaremetode laat jou toe om verskillende backends te koppel vir enkripsie. As 'n voorbeeld, die ktls_ocf.ko backend met ondersteuning vir AES-GCM, geïmplementeer gebaseer op die OpenCrypto-raamwerk, is gepubliseer. Verskeie stelsels word aangebied vir bestuur binne die kern.ipc.tls.* tak. Wanneer die kern gebou word, word TLS-ondersteuning geaktiveer deur die KERN_TLS-opsie te gebruik.
Bron: opennet.ru