Netflix selskab til at teste FreeBSD-kerneniveau-implementeringen af TLS (KTLS), som giver mulighed for en betydelig stigning i krypteringsydelsen for TCP-sockets. Understøtter acceleration af kryptering af transmitterede data ved hjælp af TLS 1.0- og 1.2-protokoller sendt til soklen ved hjælp af skrive-, aio_write- og sendfile-funktionerne.
Nøgleudveksling på kerneniveau understøttes ikke, og forbindelsen skal først etableres og forhandles i brugerrummet. For at overføre sessionsnøglen til kernen under forbindelsesforhandlingsprocessen for sockets, er muligheden TCP_TXTLS_ENABLE blevet tilføjet, efter aktivering af hvilken alle data sendt til socket vil blive indkapslet i TLS-rammer ved hjælp af den angivne nøgle. For at sende servicemeddelelser, for eksempel for at forhandle en forbindelse, skal du bruge sendmsg-funktionen med TLS_SET_RECORD_TYPE-posttypen.
To hovedmetoder til kryptering af TLS-rammer understøttes: software og ifnet (ved hjælp af hardwareacceleration af netværkskort). Valget af metode udføres vha
socket muligheder TCP_TXTLS_MODE. Softwaremetoden giver dig mulighed for at forbinde forskellige backends til kryptering. Som et eksempel er ktls_ocf.ko-backend med understøttelse af AES-GCM, implementeret baseret på OpenCrypto-rammeværket, blevet offentliggjort. Adskillige sysctls tilbydes til administration i kern.ipc.tls.*-grenen. Når du bygger kernen, er TLS-understøttelse aktiveret ved hjælp af KERN_TLS-indstillingen.
Kilde: opennet.ru