Netflix ընկերություն FreeBSD միջուկի մակարդակում TLS (KTLS) ներդրումը փորձարկելու համար, որը թույլ է տալիս զգալի մեծացնել գաղտնագրման արդյունավետությունը TCP վարդակների համար: Աջակցում է փոխանցված տվյալների կոդավորման արագացմանը՝ օգտագործելով TLS 1.0 և 1.2 արձանագրությունները, որոնք ուղարկվում են վարդակից՝ օգտագործելով գրելու, aio_write և sendfile գործառույթները:
Միջուկի մակարդակի բանալու փոխանակումը չի աջակցվում, և կապը նախ պետք է հաստատվի և բանակցվի օգտագործողի տարածքում: Սոկետների միացման բանակցային գործընթացում ստացված սեսիայի բանալին միջուկին փոխանցելու համար ավելացվել է TCP_TXTLS_ENABLE տարբերակը, որի ակտիվացումից հետո վարդակ ուղարկված բոլոր տվյալները կկապսուլացվեն TLS շրջանակներում՝ օգտագործելով նշված բանալին: Ծառայության հաղորդագրություններ ուղարկելու համար, օրինակ՝ կապի շուրջ բանակցություններ վարելու համար, դուք պետք է օգտագործեք sendmsg ֆունկցիան TLS_SET_RECORD_TYPE գրառումի տեսակով:
Աջակցվում են TLS շրջանակների կոդավորման երկու հիմնական եղանակներ՝ ծրագրային ապահովում և ifnet (օգտագործելով ցանցային քարտերի ապարատային արագացում): Մեթոդի ընտրությունը կատարվում է օգտագործելով
վարդակից ընտրանքներ TCP_TXTLS_MODE: Ծրագրային մեթոդը թույլ է տալիս միացնել տարբեր հետնամասեր կոդավորման համար: Որպես օրինակ, հրապարակվել է ktls_ocf.ko backend-ը AES-GCM-ի աջակցությամբ, որն իրականացվել է OpenCrypto շրջանակի հիման վրա: Մի քանի sysctls առաջարկվում են կառավարման համար kern.ipc.tls.* մասնաճյուղում: Միջուկը կառուցելիս TLS աջակցությունը միացված է KERN_TLS տարբերակի միջոցով:
Source: opennet.ru