HTTPS er i øjeblikket hovedprotokollen for webapplikationer Det giver en hurtig og sikker forbindelse med et vist niveau af fortrolighed og integritet. HTTPS kan dog ikke give sikkerhedsgarantier på ansøgningsdataene i beregningen, så IT-miljøet udgør risici og sårbarheder.
I lyset af dette mener to Intel-medarbejdere, at webtjenester kan gøres mere sikre ikke kun ved at udføre beregninger i betroede fjernudførelsesmiljøer eller TEE, men også ved at verificere for klienter, at det er blevet gjort.
Gordon King, softwareingeniør og Hans Wang, Intel Labs forsker, de foreslog en protokol for at gøre dette muligt. I en artikel med titlen: "Http: HTTPS Attestable Protocol ”, der for nylig blev offentliggjort på ArXiv, beskriver en HTTP-protokol kaldet HTTPS Attestable (HTTPA) for at forbedre online sikkerhed gennem fjerncertificering.
En måde, hvorpå applikationer kan opnå sikkerhed for, at data vil blive behandlet af pålidelig software i sikre eksekveringsmiljøer. Et hardwarebaseret Trusted Execution Environment (TEE) kan bruges, såsom Intel Software Guard Extension (Intel SGX).
Siden Intel Software Guard Extension (Intel SGX) giver kryptering i hukommelsen for at hjælpe med at beskytte kørende computere for at reducere risikoen for lækage eller ulovlig ændring af private oplysninger. SGX's kernekoncept gør det muligt for beregningen at foregå inden for kabinettet, et beskyttet miljø, der krypterer koder og data relateret til en sikkerhedsfølsom beregning.
Desuden SGX tilbyder sikkerhedsgarantier gennem fjerncertificering for webklienten, herunder udbyderens identitet og verifikationsidentitet.
"Her tilbyder vi en HTTPS Attestable HTTP Protocol (HTTPA), som inkluderer fjernattesteringsprocessen på HTTPS-protokollen for at imødegå privatlivs- og sikkerhedsproblemer," siger Intel.
"Med HTTPA kan vi give sikkerhedsgarantier for at etablere pålideligheden af webtjenester og sikre integriteten af behandlingen af anmodninger til webbrugere," siger King og Wang. Vi tror på, at fjernattestering vil blive en ny trend. vedtaget for at reducere sikkerhedsrisici ved webtjenester, og vi tilbyder HTTPA-protokollen for at forene web-attestering og adgang til tjenester på en standard og effektiv måde. «
Intel bruger fjernattestering som den grundlæggende grænseflade for brugere eller webtjenester til at etablere tillid som en sikker betroet kanal til at levere hemmeligheder eller fortrolige oplysninger. For at nå dette mål tilføjer vi et nyt sæt HTTP-metoder, herunder HTTP-preflight-anmodning/-svar, HTTP-attestationsanmodning/-svar, HTTP-betroet sessionsanmodning/-svar, for at opnå fjernattestering, der gør det muligt for brugere og webtjenesterne at oprette en forbindelse direkte til kørekoden.
HTTPA er designet til at give fjerncertificering og fortrolige computergarantier mellem en klient og en server ved brug af internettet via internettet. I tilfælde af HTTPA antager vi, at klienten er troværdig, og at serveren ikke er det. Kundebrugeren kan kontrollere disse garantier for at afgøre, om de kan stole på og køre computerens arbejdsbelastninger på serveren eller ej. HTTPA tilbyder dog ingen garanti for, at serveren er troværdig. HTTPA har to dele: kommunikation og computing.
Med hensyn til kommunikationssikkerhed, HTTPA tager alle HTTPS' forudsætninger for kommunikationssikkerhed, herunder brugen af TLS og sikker kommunikation, især brugen af TLS og verifikation af personens identitet. Med hensyn til computersikkerhed kræver HTTPA-protokollen at give en yderligere sikkerhed for fjernattestering for, at IT-arbejdsbelastninger kan forekomme inden for den sikre enklave, så kundebrugeren kan køre arbejdsbelastningerne i krypteret hukommelse.
King og Wang sagde:
"Vi mener, at HTTPA potentielt kan være gavnlig for visse industrier, for eksempel FinTech og sundhedspleje. Da de blev spurgt, om protokollen kunne interferere med tjenester, der har strenge båndbredde- eller latenskrav, svarede de: "Yderligere udforskning ville være nødvendig for at bekræfte enhver præstationspåvirkning; dog forventer vi ingen væsentlige ændringer i ydeevnen fra andre HTTPS-protokoller. Det er uklart, hvorvidt eller hvornår HTTPA kunne vedtages. Da de blev spurgt, om der var planer om at indsende specifikationen som en RFC eller at foretage en anden form for standardisering, svarede de: "Vi har løbende diskussioner, som skal gennemgås af Intels juridiske team, før vi kan vedtage HTTPA. «
Endelig, hvis du er interesseret i at vide mere om det, kan du konsultere detaljerne I det følgende link.