HTTPS és actualment el protocol principal per a aplicacions web que proporciona una connexió ràpida i segura amb un cert nivell de confidencialitat i integritat. Tot i això, HTTPS no pot proporcionar garanties de seguretat sobre les dades de la sol·licitud en el càlcul, per la qual cosa l'entorn de TI presenta riscs i vulnerabilitats.
Davant d'això, dos empleats d'Intel creuen que els serveis web es poden fer més segurs no només fent càlculs en entorns fiables d'execució remota, o TEE, sinó també verificant per als clients que s'hagin realitzat.
Gordon King, enginyer de programari i Hans Wang, investigador d'Intel Labs, van proposar un protocol per fer-ho possible. En un article titulat: “HTTPA: HTTPS Attestable Protocol”, publicat fa poc a ArXiv, descriuen un protocol HTTP anomenat HTTPS Attestable (HTTPA) per millorar la seguretat en línia a través de la certificació remota.
Una manera que les aplicacions obtinguin la seguretat que les dades seran processades per programari fiable en entorns d'execució segurs. Es pot utilitzar un entorn d'execució fiable (TEE) basat en maquinari, com ara Intel Software Guard Extension (Intel SGX).
Atès que Intel Software Guard Extension (Intel SGX) proporciona encriptació en memòria per ajudar a protegir la computació en execució per reduir el risc de filtració o modificació il·legal dinformació privada. El concepte central de SGX permet que el càlcul es dugui a terme dins del recinte, un entorn protegit que xifra codis i dades relacionades amb un càlcul sensible a la seguretat.
A més, el SGX ofereix garanties de seguretat a través de la certificació remota per al client web, inclosa la identitat del proveïdor i la identitat de verificació.
"Aquí oferim un protocol HTTP atestable HTTPS (HTTPA), que inclou el procés d'atestació remota al protocol HTTPS per abordar els problemes de privadesa i seguretat", diu Intel.
"Amb HTTPA, podem brindar garanties de seguretat per establir la confiança dels serveis web i assegurar la integritat del processament de les sol·licituds per als usuaris de la web", diuen King i Wang. Creiem que l'atestació remota es convertirà en una nova tendència adoptada per reduir els riscos de seguretat dels serveis web, i oferim el protocol HTTPA per unificar l'atestació web i l'accés als serveis de manera estàndard i eficient. «
Intel utilitza l'atestació remota com a interfície bàsica perquè els usuaris o serveis web estableixin la confiança com un canal de confiança segur per lliurar secrets o informació confidencial. Per aconseguir aquest objectiu, estem afegint un nou conjunt de mètodes HTTP, que inclouen sol·licitud / resposta de verificació prèvia HTTP, sol · licitud / resposta d'atestació HTTP, sol · licitud / resposta de sessió de confiança HTTP, per aconseguir una atestació remota que permeti als usuaris i als serveis web establir una connexió directament al codi en execució.
HTTPA està dissenyat per proporcionar certificació remota i garanties informàtiques confidencials entre un client i un servidor quan es fa servir el web a través d'Internet. En el cas de HTTPA, assumim que el client és fiable i el servidor no. L'usuari del client pot comprovar aquestes garanties per decidir si pot confiar i executar les càrregues de treball informàtiques al servidor o no. Tot i això, HTTPA no ofereix cap garantia que el servidor sigui fiable. HTTPA té dues parts: comunicació i computació.
Pel que fa a la seguretat de la comunicació, HTTPA pren tots els supòsits de HTTPS per a la seguretat de la comunicació, inclòs l'ús de TLS i la comunicació segura, en particular lús de TLS i la verificació de la identitat de la persona. Pel que fa a la seguretat computacional, el protocol HTTPA requereix proporcionar un estat de garantia addicional de l'atestació remota perquè les càrregues de treball de TI es realitzin dins de l'enclavament segur, de manera que l'usuari del client pugui executar les càrregues de treball a la memòria xifrada.
King i Wang van dir:
“Creiem que HTTPA podria ser potencialment beneficiós per a certes indústries, per exemple, FinTech i atenció mèdica. Quan se'ls va preguntar si el protocol podria interferir amb els serveis que tenen requisits estrictes d'amplada de banda o latència, van respondre: “Caldria més exploració per confirmar qualsevol impacte en el rendiment; no obstant, no esperem cap canvi de rendiment significatiu d'altres protocols HTTPS. Pel que fa a si es podria adoptar HTTPA o quan, no és clar. Quan se'ls va preguntar si hi havia plans per enviar l'especificació com un RFC o emprendre alguna altra forma d'estandardització, van respondre: “Tenim discussions que han de ser revisades per l'equip legal d'Intel abans que puguem adoptar HTTPA. «
Finalment si estàs interessat en conèixer més a l'respecte, pots consultar els detalls en el següent enllaç.