„Netflix“ kompanija FreeBSD branduolio lygio TLS (KTLS) diegimo testavimui, kuris leidžia žymiai padidinti TCP lizdų šifravimo našumą. Palaiko siunčiamų duomenų šifravimo pagreitį naudojant TLS 1.0 ir 1.2 protokolus, siunčiamus į lizdą, naudojant rašymo, aio_write ir sendfile funkcijas.
Branduolio lygio raktų mainai nepalaikomi, todėl pirmiausia reikia užmegzti ryšį ir derėtis vartotojo erdvėje. Norint perkelti į branduolį seanso raktą, gautą derybų dėl lizdų jungimosi metu, buvo pridėta parinktis TCP_TXTLS_ENABLE, kurią suaktyvinus visi į lizdą siunčiami duomenys bus įterpiami į TLS rėmelius naudojant nurodytą raktą. Norėdami siųsti paslaugų pranešimus, pavyzdžiui, susitarti dėl ryšio, turėtumėte naudoti funkciją sendmsg su įrašo tipu TLS_SET_RECORD_TYPE.
Palaikomi du pagrindiniai TLS kadrų šifravimo būdai: programinė įranga ir ifnet (naudojant aparatinę tinklo plokščių spartinimą). Metodo pasirinkimas atliekamas naudojant
lizdo parinktys TCP_TXTLS_MODE. Programinės įrangos metodas leidžia prijungti skirtingus šifravimo pagrindus. Kaip pavyzdys, buvo paskelbta ktls_ocf.ko backend su AES-GCM palaikymu, įdiegta remiantis OpenCrypto sistema. Kern.ipc.tls.* šakoje tvarkyti siūlomi keli sysctl. Kuriant branduolį, TLS palaikymas įgalinamas naudojant KERN_TLS parinktį.
Šaltinis: opennet.ru