Компания Netflix
Обменът на ключове на ниво ядро не се поддържа и връзката трябва първо да бъде установена и договорена в потребителското пространство. За прехвърляне към ядрото на сесийния ключ, получен по време на процеса на договаряне на връзката за сокети, е добавена опцията TCP_TXTLS_ENABLE, след активирането на която всички данни, изпратени до сокета, ще бъдат капсулирани в TLS рамки с помощта на посочения ключ. За да изпращате служебни съобщения, например за уговаряне на връзка, трябва да използвате функцията sendmsg с тип запис TLS_SET_RECORD_TYPE.
Поддържат се два основни метода за криптиране на TLS рамки: софтуер и ifnet (използвайки хардуерно ускорение на мрежови карти). Изборът на метод се извършва с помощта на
опции за сокет TCP_TXTLS_MODE. Софтуерният метод ви позволява да свържете различни бекендове за криптиране. Като пример е публикуван бекендът ktls_ocf.ko с поддръжка за AES-GCM, реализиран на базата на рамката OpenCrypto. Предлагат се няколко sysctl за управление в клона kern.ipc.tls.*. При изграждане на ядрото поддръжката на TLS е активирана чрез опцията KERN_TLS.
Източник: opennet.ru