Netflix公司 用於測試 TLS (KTLS) 的 FreeBSD 核心級實現,它可以顯著提高 TCP 套接字的加密效能。 支援使用 write、aio_write 和 sendfile 函數加速使用 TLS 1.0 和 1.2 協定傳送到套接字的傳輸資料的加密。
不支援核心級金鑰交換,必須先在用戶空間建立和協商連線。 為了將套接字在連接協商過程中獲得的會話金鑰傳輸到內核,新增了 TCP_TXTLS_ENABLE 選項,啟動該選項後,發送到套接字的所有資料都將使用指定金鑰封裝在 TLS 訊框中。 若要傳送服務訊息(例如協商連線),您應該使用帶有 TLS_SET_RECORD_TYPE 記錄類型的 sendmsg 函數。
支援兩種主要的加密 TLS 幀的方法:軟體和 ifnet(使用網路卡的硬體加速)。 方法的選擇是使用
套接字選項 TCP_TXTLS_MODE。 軟體方法可讓您連接不同的後端進行加密。 例如,基於 OpenCrypto 框架實作的支援 AES-GCM 的 ktls_ocf.ko 後端已經發布。 kern.ipc.tls.* 分支內提供了多個用於管理的 sysctl。 建置核心時,使用 KERN_TLS 選項啟用 TLS 支援。
來源: opennet.ru