Netflix cég a TLS (KTLS) FreeBSD kernel szintű megvalósításának tesztelésére, amely lehetővé teszi a TCP socketek titkosítási teljesítményének jelentős növelését. Támogatja a továbbított adatok titkosításának felgyorsítását a sockethez küldött TLS 1.0 és 1.2 protokollok használatával, az írás, aio_write és sendfile funkciók használatával.
A rendszermag szintű kulcscsere nem támogatott, és a kapcsolatot először létre kell hozni és meg kell tárgyalni a felhasználói térben. A socketek kapcsolat-egyeztetési folyamata során kapott munkamenet-kulcs kernelbe való átviteléhez a TCP_TXTLS_ENABLE opció került hozzáadásra, amelynek aktiválása után a socketnek küldött összes adat TLS keretekbe kerül a megadott kulccsal. Szolgáltatási üzenetek küldéséhez, például kapcsolat egyeztetéséhez használja a sendmsg függvényt a TLS_SET_RECORD_TYPE rekordtípussal.
A TLS-keretek titkosításának két fő módja támogatott: szoftveres és ifnet (a hálózati kártyák hardveres gyorsításával). A módszer kiválasztása a segítségével történik
socket opciók TCP_TXTLS_MODE. A szoftveres módszer lehetővé teszi különböző háttérrendszerek csatlakoztatását a titkosításhoz. Példaként megjelent az OpenCrypto keretrendszeren alapuló ktls_ocf.ko háttérprogram az AES-GCM támogatásával. A kern.ipc.tls.* ágon belül több sysctl is felkínálható a kezelésre. A kernel felépítésekor a TLS-támogatás engedélyezve van a KERN_TLS opcióval.
Forrás: opennet.ru