Compañía Netflix para probar a implementación a nivel de núcleo de FreeBSD de TLS (KTLS), o que permite un aumento significativo no rendemento de cifrado para sockets TCP. Admite a aceleración do cifrado dos datos transmitidos mediante os protocolos TLS 1.0 e 1.2 enviados ao socket mediante as funcións write, aio_write e sendfile.
Non se admite o intercambio de claves a nivel de núcleo e primeiro debe establecerse e negociar a conexión no espazo do usuario. Para transferir ao kernel a clave de sesión obtida durante o proceso de negociación da conexión para sockets, engadiuse a opción TCP_TXTLS_ENABLE, tras a activación da cal todos os datos enviados ao socket serán encapsulados en marcos TLS utilizando a clave especificada. Para enviar mensaxes de servizo, por exemplo para negociar unha conexión, debes usar a función sendmsg co tipo de rexistro TLS_SET_RECORD_TYPE.
Admítense dous métodos principais de cifrado de tramas TLS: software e ifnet (usando a aceleración de hardware das tarxetas de rede). A elección do método realízase mediante
opcións de socket TCP_TXTLS_MODE. O método de software permítelle conectar diferentes backends para o cifrado. Como exemplo, publicouse o backend ktls_ocf.ko con soporte para AES-GCM, implementado baseándose no marco OpenCrypto. Ofrécense varios sysctls para a súa xestión dentro da rama kern.ipc.tls.*. Ao construír o núcleo, o soporte TLS está habilitado mediante a opción KERN_TLS.
Fonte: opennet.ru