HTTPS в момента е основният протокол за уеб приложения Той осигурява бърза и сигурна връзка с определено ниво на конфиденциалност и интегритет. HTTPS обаче не може да осигури гаранции за сигурност върху данните от приложението в изчислението, т.н ИТ средата представлява рискове и уязвимости.
Като се има предвид това, двама служители на Intel вярват, че уеб услугите могат да бъдат направени по-сигурни не само чрез извършване на изчисления в надеждни среди за отдалечено изпълнение или TEE, но и чрез проверка за клиентите, че това е направено.
Гордън Кинг, софтуерен инженер и Ханс Уанг, изследовател на Intel Labs, те предложиха протокол, който да направи това възможно. В статия, озаглавена: „Http: HTTPS Attestable Protocol ”, публикуван наскоро в ArXiv, описва HTTP протокол, наречен HTTPS Attestable (HTTPA), за подобряване на онлайн сигурността чрез дистанционно сертифициране.
Начин за приложенията да получат увереност, че данните ще бъдат обработени от надежден софтуер в защитени среди за изпълнение. Може да се използва хардуерно базирана надеждна среда за изпълнение (TEE), като например Intel Software Guard Extension (Intel SGX).
Тъй като Intel Software Guard Extension (Intel SGX) осигурява криптиране в паметта за да помогне за защитата на работещите компютри, за да намали риска от изтичане или незаконна промяна на лична информация. Основната концепция на SGX позволява изчисленията да се извършват в рамките на корпуса, защитена среда, която криптира кодове и данни, свързани с чувствително за сигурността изчисление.
Освен това SGX предлага гаранции за сигурност чрез дистанционно сертифициране за уеб клиента, включително самоличността на доставчика и самоличността за проверка.
„Тук предлагаме HTTPS Attestable HTTP Protocol (HTTPA), който включва процеса на отдалечено атестиране на HTTPS протокола, за да отговори на проблемите за поверителност и сигурност“, казва Intel.
„С HTTPA можем да предоставим гаранции за сигурност, за да установим надеждността на уеб услугите и да гарантираме целостта на обработката на заявките за уеб потребителите“, казват Кинг и Уанг. Вярваме, че дистанционното атестиране ще се превърне в нова тенденция. възприета за намаляване на рисковете за сигурността на уеб услугите и ние предлагаме протокола HTTPA за унифициране на уеб атестирането и достъпа до услугите по стандартен и ефективен начин. «
Intel използва отдалечената атестация като основен интерфейс за потребителите или уеб услугите, за да установи доверие като сигурен доверен канал за предоставяне на тайни или поверителна информация. За да постигнем тази цел, ние добавяме нов набор от HTTP методи, включително HTTP заявка/отговор за предварителна проверка, HTTP заявка/отговор за атестиране, HTTP заявка/отговор за доверена сесия, за да постигнем дистанционно атестиране, което позволява на потребителите и уеб услугите да установят връзка директно към работещия код.
HTTPA е предназначен да осигури дистанционно сертифициране и поверителни компютърни гаранции между клиент и сървър при използване на мрежата през Интернет. В случай на HTTPA приемаме, че клиентът е надежден, а сървърът не. Потребителят на клиента може да провери тези гаранции, за да реши дали може да се довери и да изпълнява изчислителните натоварвания на сървъра или не. HTTPA обаче не предлага никаква гаранция, че сървърът е надежден. HTTPA има две части: комуникация и изчисление.
По отношение на сигурността на комуникацията, HTTPA приема всички предположения на HTTPS за сигурност на комуникацията, включително използването на TLS и сигурна комуникация, по-специално използването на TLS и проверката на самоличността на лицето. По отношение на изчислителната сигурност, протоколът HTTPA изисква предоставяне на допълнително състояние на сигурност на отдалечено атестиране за ИТ работните натоварвания, които да се случват в рамките на защитения анклав, така че потребителят на клиента да може да изпълнява работните натоварвания в криптирана памет.
Кинг и Уанг казаха:
„Вярваме, че HTTPA може потенциално да бъде от полза за определени индустрии, например FinTech и здравеопазване. На въпроса дали протоколът може да попречи на услугите, които имат строги изисквания за честотна лента или латентност, те отговориха: „Ще е необходимо допълнително проучване, за да се потвърди влиянието на производителността; обаче не очакваме значителни промени в производителността от други HTTPS протоколи. По отношение на това дали или кога може да се приеме HTTPA, не е ясно. На въпроса дали има планове за представяне на спецификацията като RFC или за предприемане на някаква друга форма на стандартизация, те отговориха: „Имаме текущи дискусии, които трябва да бъдат прегледани от правния екип на Intel, преди да можем да приемем HTTPA. «
И накрая, ако се интересувате да научите повече за това, можете да се консултирате с подробностите В следващия линк.