Công ty Netflix để kiểm tra việc triển khai TLS (KTLS) cấp hạt nhân FreeBSD, cho phép tăng đáng kể hiệu suất mã hóa cho các ổ cắm TCP. Hỗ trợ tăng tốc mã hóa dữ liệu được truyền bằng giao thức TLS 1.0 và 1.2 được gửi đến ổ cắm bằng các chức năng ghi, aio_write và sendfile.
Trao đổi khóa cấp hạt nhân không được hỗ trợ và kết nối trước tiên phải được thiết lập và đàm phán trong không gian người dùng. Để chuyển vào kernel khóa phiên thu được trong quá trình đàm phán kết nối cho ổ cắm, tùy chọn TCP_TXTLS_ENABLE đã được thêm vào, sau khi kích hoạt tùy chọn này, tất cả dữ liệu được gửi đến ổ cắm sẽ được gói gọn trong khung TLS bằng khóa được chỉ định. Để gửi tin nhắn dịch vụ, chẳng hạn như đàm phán kết nối, bạn nên sử dụng hàm sendmsg với loại bản ghi TLS_SET_RECORD_TYPE.
Hai phương pháp mã hóa khung TLS chính được hỗ trợ: phần mềm và ifnet (sử dụng khả năng tăng tốc phần cứng của card mạng). Việc lựa chọn phương pháp được thực hiện bằng cách sử dụng
tùy chọn ổ cắm TCP_TXTLS_MODE. Phương pháp phần mềm cho phép bạn kết nối các chương trình phụ trợ khác nhau để mã hóa. Ví dụ: phần phụ trợ ktls_ocf.ko có hỗ trợ AES-GCM, được triển khai dựa trên khung OpenCrypto, đã được xuất bản. Một số sysctls được cung cấp để quản lý trong nhánh kern.ipc.tls.*. Khi xây dựng kernel, hỗ trợ TLS được bật bằng tùy chọn KERN_TLS.
Nguồn: opennet.ru