Netflix Firma fir d'Test vun der FreeBSD Kernel-Niveau Implementatioun vun TLS (KTLS), wat eng bedeitend Erhéijung vun der Verschlësselungsleistung fir TCP Sockets erlaabt. Ënnerstëtzt Beschleunegung vun der Verschlësselung vun iwwerdroenen Donnéeën mat TLS 1.0 an 1.2 Protokoller, déi an de Socket geschéckt ginn mat de Schreiwen, Aio_write a Sendfile Funktiounen.
Kernel-Niveau Schlësselaustausch gëtt net ënnerstëtzt an d'Verbindung muss als éischt am Benotzerraum etabléiert a verhandelt ginn. Fir de Kärel de Sessiounsschlëssel, deen während dem Verbindungsverhandlungsprozess fir Sockets kritt gëtt, ze transferéieren, ass d'Optioun TCP_TXTLS_ENABLE bäigefüügt, no der Aktivatioun vun deenen all Daten, déi an de Socket geschéckt ginn, an TLS Frames verschlësselt ginn mat dem spezifizéierte Schlëssel. Fir Service Messagen ze schécken, zum Beispill fir eng Verbindung ze verhandelen, sollt Dir d'Sendmsg Funktioun mam TLS_SET_RECORD_TYPE Rekordtyp benotzen.
Zwee Haaptmethoden fir TLS Rummen ze verschlësselen ginn ënnerstëtzt: Software an Ifnet (mat Hardware Beschleunegung vun Netzwierkkaarten). D'Wiel vun der Method gëtt duerchgefouert mat
Socket Optiounen TCP_TXTLS_MODE. D'Softwaremethod erlaabt Iech verschidde Backends fir Verschlësselung ze verbannen. Als Beispill ass de ktls_ocf.ko Backend mat Ënnerstëtzung fir AES-GCM, implementéiert op Basis vum OpenCrypto Kader, publizéiert. Verschidde Sysctls gi fir d'Gestioun an der kern.ipc.tls.* Filial ugebueden. Wann Dir de Kernel baut, gëtt TLS Support aktivéiert mat der KERN_TLS Optioun.
Source: opennet.ru