נטפליקס פרסמה תיקוני יישום TLS עבור ליבת FreeBSD

חברת נטפליקס מוּצָע לבדיקת הטמעה ברמת ליבת FreeBSD של TLS (KTLS), המאפשרת עלייה משמעותית בביצועי ההצפנה עבור שקעי TCP. תומך בהאצת הצפנה של נתונים משודרים באמצעות פרוטוקולי TLS 1.0 ו-1.2 הנשלחים לשקע באמצעות פונקציות הכתיבה, aio_write ו- sendfile.

חילופי מפתחות ברמת ליבה אינם נתמכים ויש ליצור תחילה את החיבור ולנהל משא ומתן במרחב המשתמש. כדי להעביר לקרנל את מפתח ה-Session שהושג בתהליך המשא ומתן על החיבור עבור שקעים, נוספה האפשרות TCP_TXTLS_ENABLE, שלאחר הפעלתה כל הנתונים שנשלחו לשקע יוכנסו למסגרות TLS באמצעות המפתח שצוין. כדי לשלוח הודעות שירות, למשל כדי לנהל משא ומתן על חיבור, עליך להשתמש בפונקציה sendmsg עם סוג הרשומה TLS_SET_RECORD_TYPE.

שתי שיטות עיקריות להצפנת מסגרות TLS נתמכות: תוכנה ו-ifnet (באמצעות האצת חומרה של כרטיסי רשת). בחירת השיטה מתבצעת באמצעות
אפשרויות שקע TCP_TXTLS_MODE. שיטת התוכנה מאפשרת לחבר קצה עורפי שונים להצפנה. כדוגמה, פורסם ה-backend של ktls_ocf.ko עם תמיכה ב-AES-GCM, המיושם על בסיס מסגרת OpenCrypto. מספר מערכות מוצעות לניהול בסניף kern.ipc.tls.*. בעת בניית הליבה, תמיכת TLS מופעלת באמצעות אפשרות KERN_TLS.

מקור: OpenNet.ru