LWN:扩展内核里的TLS支持!

最新推荐文章于 2024-06-11 09:36:27 发布
最新推荐文章于 2024-06-11 09:36:27 发布
阅读量301 收藏
点赞数
文章标签: 网络 算法 python java linux
原文链接:https://mp.weixin.qq.com/s?__biz=Mzg2MjE0NDE5OA==&mid=2247486562&idx=1&sn=24a25b9b6b16d5b5de5b616cc5827540&chksm=ce0d1fcbf97a96dd93715912e66e05cd8463b1eeb63b0312ea807224d7506b9187a4f50dc1f7&scene=126&&sessionid=0
版权

关注了就能看到更多这么棒的文章哦~

Extending in-kernel TLS support

By Jonathan Corbet
April 25, 2022
DeepL assisted translation
https://lwn.net/Articles/892216/

内核在 2017 年 9 月推出的 4.13 版本中就支持了 TLS 协议。但这个支持是不完整的,因为它没有给内核提供一种方法来自己发起 TLS 连接。而是需要用户空间创建一个 socket,并在将 socket 交给内核之前执行 TLS 握手,然后内核可以使用 TLS 来传输数据。Chuck Lever 提出了一组 patch,可能可以改变这种情况了,尽管仍然需要用户空间来做些事情。

众所周知,TLS 是用来在网络上传输加密数据的。别的不用说,至少 HTTPS 链接背后依赖的协议就是 TLS。当前,网络上传输的数据有很大一部分是以这种方式加密的。在建立了连接之后,把数据加密发送到另一端的工作是相对比较简单的,对收到的数据进行解密也是如此。然而,建立连接的过程很复杂,其中还涉及到算法协商以及为一端或两端来提供(provision)和验证(verification)公共密钥。

在内核中支持 TLS 的话会有一些好处,包括性能会有小幅提升,并且可以使用 socket filter 来过滤了。不过,TLS session 的建立过程并不太关注性能,而且由于这个过程很复杂,可能会导致更多的 bug 以及安全问题。因此,当人们给内核添加 TLS 支持时,主要专注在数据传输方面,而将建立 session 的困难留给了用户空间。这就是内核的 TLS 支持在过去几年中的工作方式。

这个解决方案是有效的,但有时如果内核能够自己启动 TLS session 的话会很有好处。因此引出了 Lever 的 patch。这个 patch set 仍然没有将 TLS 握手引入内核,尽管最终还是希望能实现这个理想目标的:

从长远来看,我们倾向于在内核中实现 TLS 握手。然而,这还需要很长的时间,而且有些人希望在没有充分理由的情况下就不要去增加 Linux 内核的 "攻击面" 了。因此我们也同时创建了一个原型来实现握手,它会去调用到用户空间,而实际的握手工作就可以由现成的 TLS 库实现来完成。

这个设计要求在有可能需要内核启动 TLS 连接的情况下(具体来说就是所有的 network namespace 里面)运行一个特殊的用户空间进程。该进程将使用新增的 AF_TLSH("TLS helper")address-family type 来创建一个 socket,然后监听该 socket。当内核需要建立一个 TLS session 时,listen() 调用就会返回一个已经连接上的 TCP socket;然后该进程可以与远端的对方来交流从而建立好 session。如果协商成功就可以使用带有新增的 SOL_TLS 选项的 setockopt() 调用来配置新建立的 session。关闭 socket 后就会把它返还给内核。

在内核里面,会有一个新函数在最开始 TCP 连接建立后就被调用:

int tls_client_hello_x509(struct socket *sock, void (*done)(void *data, int status),
        void *data, const char *priorities, key_serial_t peerid,
        key_serial_t cert);

这个调用会试图把 sock 传递给 helper 进程。成功的话就会返回 0;此时仍在进行协商。等到 session 设置成功(或失败)之后,done() 这个回调函数就会被调用,并给出此操作的结果。如果得到的是一个成功的状态,那么内核就应该能够通过 socket 来使用 TLS 进行通信了。还有 tls_client_hello_psk() 函数,它可以在有 pre-shared key 密钥存在的情况下用来共享。

有人会问,为什么需要这个功能?其中之一的用途就是在 TLS 上实现远程过程调用(RPC)协议,这已经有了相关的后续 patch set。这样就可以用来在加密连接之上实现 NFS 文件系统协议了。Lever 说,未来人们可能还有兴趣使用这一功能来在 QUIC 连接之上支持 SMB 文件系统协议,当然,前提是内核在这几年确实支持了 QUIC 的话。

对 TLS patch 的反应相对平静,只有 Hannes Reinecke 的一组 Reviewed-by 标签,他也是其中一个 patch 的作者。相反,RPC-over-TLS patch 则遇到了一些来自 Trond Myklebust 的不同意见,他是内核 NFS 客户端的维护者。他认为这些 setup 工作可以完全在用户空间由 mount.nfs 工具完成。Lever 回应说,在有些情况下,我们认为内核需要决定是否应该使用 TLS。讨论结束时仍然没有得出结论,所以这个话题很可能会在 5 月初的 Linux Storage, Filesystem, and Memory-Management Summit 上继续讨论。

全文完
LWN 文章遵循 CC BY-SA 4.0 许可协议。

欢迎分享、转载及基于现有协议再创作~

长按下面二维码关注,关注 LWN 深度文章以及开源社区的各种新近言论~

6644fbd9f83d1902a839a6a81c080ebd.png

LinuxNews搬运工
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux & Windows TLS实现
manjian的专栏
12-08 6758
LinuxTLS(Thread Local Storage)实现由内核和用户两部分模块配合完成的。    内核TLS需要做的事情是能够让用户态程序(通常是 nptl——一个pthread的实现)在某个时刻能够设置线程唯一的基址值到内核的线程信息结构内。系统调用set_thread_area(x86)和prctl(X86_64)用来完成这个任务。在x86家族中,这些系统调用能够设置fs(x8
Linux内核追踪[4.13] Linux Kernel TLS
Qixuan.wu的专栏
10-24 851
内核的4.13版本实现了一个TLS功能(根据 RFC 5288),google员工Dave Watson受到FreeBSD的Netflix的项目启发(FreeBSD网络很强大啊),实现这个功能的初衷是为了优化tls应用协议的性能(略微有一些,作者实测是2-7%)。据他说,google内部的网络协议80%是通过tls加密的。有了这个功能之后,http在用户态不需要加密,只需要纯的http,在内核态封
Linux C++编程写发送邮件程序(支持SSL/TLS
12-21
因工作需要在Linux环境中用C++编写个发送邮件的程序,着实费了点周折,最终得以满意解决,现将历程与成果与大家分享! 一、刚开始网上一通逛搜,发现Linux环境下,发邮件使用较多的方法是libesmtp包,网上也有示例,按照相关章的指引,很容易就实现的邮件的发送,但问题是不知道如何实现SSL。 二、发现libesmtp文件中有个smtp_starttls_set_ctx接口,似乎是可以解决ssl问题的,逛搜libesmtp解决SSL发送邮件的解决办法,几乎无任何信息,后来下载了个libesmtp的源代码包libesmtp-1.0.6.tar.bz2,内含examples示例目录,可以直接编译成功,但似乎是只支持tls邮件发送,而不支持ssl邮件的发送,百思不得其解。 三、接着寻找别的解决办法,在CSDN搜到一个csmtp说可以解决SSL邮件发送问题的资源,但下载需要50积分,说心话能解决问题50积分也是值得的,但没有呀,提供资源者还比较仁义,告知资来源于https://www.codeproject.com,于是乎在codeproject找到了csmtp的资源,有两个版本,v2.4版本包CSmtp_v2_4_ssl.zip,v1.8版本分为window(CSmtp_v1_8a.zip)和linux(CSmtp_v1_8b.zip)两个包。 四、为了能省点精力,就直接用版较低的linux版吧,解压后发现有makefile文件,可直接编译通过,一般的邮件能发送成功,但可惜的是v1.8版本也不支持ssl协议。 五、其实从包的名字上就能看出来v2.4版本开始支持 ssl协议,但v2.4并不分windows版本和linux版本,是否能支持linux呢,查看源代码发现有对linux支持,只是包内没有makefile文件,似乎没有在linux目录下编译过,于是编写了个makefile文件尝试编译,竞然编通过,而且发送文件成功,经过测试可以支持ssl邮件的发送,因暂无需求tls未做测试。 六、现将程序重新打包成csmtp_v2.4_linux.tar文件,与大家分享,文中所提到的相关资源包都一并打包到资源中了。 最后感谢原创christopher w. backen提供的代码资源!
内核tls
runshui27的博客
08-24 142
https://www.kernel.org/doc/html/latest/networking/tls-offload.html#
漫谈兼容内核之二十三:关于TLS
周寅的专栏
03-13 2226
 TLS是“线程局部存储(Thread Local Storage)”的缩写,“Local”这个词有“局部”、“本地”的意思,所以也可以说是“线程本地存储”。顾名思义,这就是局部于唯一的线程、为具体线程所“私用、专用”的存储空间。这所说的“空间”并不是“用户空间”、“系统空间”那个意义上的空间,而是指用户空间中个别变量、数组、或数据结构所占据的存储空间。    我们知道,线程并不独立拥有用户空间
来自Facebook的KTLS(Kernel SSL/TLS)原理和实例
Netfilter
12-25 2万+
抽了点时间研究了下KTLS,这源自于跟同事交流的一个问题,那就是现如今的HTTPS服务器以及scp命令传输本地文件的时候,无法使用sendfile系统调用!        这个话题让我想起了很多的老同事,为了不骚扰到他们,本文中我一律使用只有我们自己才知道的昵称。        我后悔当初为什么没有想到一个让HTTPS/scp支持sendfile/splice/tee调用族的方案,我表示后悔是因为
af_lwn::penguin: 用于 Tiny Tiny RSS 的 LWN.net 插件
06-07
af_lwn 小插件,用于提取提要项目的全部内容,包括仅限订阅者的内容。 如果您想提取仅限订阅者的内容, LWN_PASS在 config.php 中配置LWN_USER和LWN_PASS ,如下所示: define ( 'LWN_USER' , '<username>' );define...
lwn-newsletter:订阅 Linux 每周档案的工具
06-07
lwn-时事通讯 订阅 Linux 每周档案的工具。 纯娱乐。 从。 配置文件示例 category=Kernel # Support Kernel, Security and Distributions receiver=xxx@gmail.com password=xxx server=smtp.gmail.com port=587 ...
LWN helper-crx插件
04-05
为了安装LWN helper-crx插件,用户通常需要将其下载到本地,然后在支持CRX格式的浏览器(如Google Chrome或基于Chromium的浏览器)的扩展管理页面手动加载。需要注意的是,由于安全原因,现代浏览器可能不允许直接...
lwn2email
02-21
如果您认为该脚本有用,请通过购买订阅来支持LWN。 我将通过不接受允许脚本无需订阅即可工作的请求请求来尊重LWN。 该脚本在某种程度上取决于LWN的格式,如果进行更改,该脚本可能会中断。 但是,自从我在2013年...
LWN帮手「LWN helper」-crx插件
03-15
使LWN稍微容易阅读 这个扩展名为LWN.net上的其他文章的所有内部链接添加了标题mouseover。在导航之前知道您正在浏览的文章。 支持语言:English
linux SSL/TLS加密协议
alimingh的博客
03-06 4072
SSL和TLS的关系 SSL(Secure Sockets Layer)和TLS(Transport Layer Security)的关系就像windows XP和windows 7的关系,升级后改了个名字而已。下面这张表格列出了它们的历史: 协议 创建时间 创建者 RFC 注释 SSL1.0 n/a Netscape n/a 由于有很多安全...
LWN:纷争期间的自由软件
Linux News搬运工
04-06 878
关注了就能看到更多这么棒的文章哦~Free software during wartimeBy Jonathan CorbetMarch 23, 2023DeepL assisted translationhttps://lwn.net/Articles/926798/27 年前,约翰-佩-巴洛(John Perry Barlow)的网络空间独立宣言(the independence of Cy...
推荐开源项目:Linux Kernel TLS/DTLS Socket
gitblog_00061的博客
06-11 331
推荐开源项目:Linux Kernel TLS/DTLS Socket 项目地址:https://gitcode.com/ktls/af_ktls网络安全与数据传输日益重要的今天,我们很高兴向您推荐一个创新的开源项目——Linux Kernel TLS/DTLS Socket。这个项目正在积极开发中,它引入了一个名为AF_KTLS的新套接字,可以在TCP或UDP上利用TLS 1.2和DTLS ...
linux查看支持TLS密码套件
qq_34454820的博客
03-06 2649
您可以使用OpenSSL工具来查看Linux系统支持TLS密码套件列表。该命令将显示您的Linux系统支持的所有TLS密码套件的列表。
TLS底层实现的详解
For Geek
05-12 2055
我在之前的博客并未提及过Tls的底层初始化,现在好好来谈谈。 首先我们要知道Tls的初始化是在入口之前。先从一开始的LdrInitializeThunk说起,在调用LdrPEStartup时,其在修复完导入表后,调用了一次LdrpInitializeTlsForProccess,我们看看他是怎样处理的。 static NTSTATUS LdrpInitializeTlsForProccess(V...
聊聊Linux中的线程本地存储(1)——什么是TLS
海枫的专栏
07-17 1万+
什么是线程本地存储(TLS,Thread Local Storage)呢?相信你看过很多次这个定义,但它表达的内涵是什么呢?本文从变量模型出发,讨论引入多线程编程模式之后,需要重新修改变量模型,从而引入TLS概念。
TLS/SSL 协议详解 (28) TLS 1.0、TLS 1.1、TLS 1.2之间的区别
热门推荐
Network/Storage/Linux Kernel
09-14 17万+
TLS 1.0 RFC http://www.ietf.org/rfc/rfc2246.txt TLS 1.1 RFC http://www.ietf.org/rfc/rfc4346.txt TLS 1.2 RFC http://www.ietf.org/rfc/rfc5246.txt TLS 1.3 见:https://blog.csdn.net/mrpre/article/deta...
浅析TLS 1.2协议
weixin_34345753的博客
05-05 8770
0x01 TLS 1.2 简介 TLS概述:TLS和他的前身SSL,都是提供在计算机网络上安全通信的密码学协议,最常见就是用于HTTPS中,用来保护Web通信的。 发展史:网景公司开发了原始的SSL协议,SSL 1.0因为本身存在着严重的安全问题,所以从未被公开发布。只有SSL 2.0和SSL 3.0是被公开发布和使用的。后来为了对SS...
https://lwn.net/Articles/813350/
最新发布
06-12
对不起,由于链接指向的是Linux Weekly News(LWN)的文章,我无法直接查看或解析网页内容。不过,通常情况下,LWN这类技术网站会报道Linux相关的新闻和技术文章,可能涉及的主题包括内核更新、新工具发布、编程实践等。 如果你的问题是关于Linux系统某个特定方面的操作,如命令行技巧、系统管理或编程,我可以帮你回顾或解释Linux中的相关概念或功能。请提供具体的问题,我会尽力基于已有的知识库提供帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值