HTTPS ist derzeit das Hauptprotokoll für Webanwendungen Es bietet eine schnelle und sichere Verbindung mit einem gewissen Maß an Vertraulichkeit und Integrität. HTTPS kann jedoch keine Sicherheitsgarantien bieten auf die Anwendungsdaten in der Berechnung, also die IT-Umgebung birgt Risiken und Schwachstellen.
Vor diesem Hintergrund glauben zwei Intel-Mitarbeiter, dass Webdienste sicherer gemacht werden können, indem nicht nur Berechnungen in vertrauenswürdigen Remote-Ausführungsumgebungen (TEE) durchgeführt werden, sondern auch, indem sie für Clients überprüft werden, ob dies durchgeführt wurde.
Gordon King, Software-Ingenieur und Hans Wang, Intel Labs-Forscher, sie schlugen ein Protokoll vor, um dies zu ermöglichen. In einem Artikel mit dem Titel: „HTTP: HTTPS Attestable Protocol “, das kürzlich auf ArXiv veröffentlicht wurde, beschreibt ein HTTP-Protokoll namens HTTPS Attestable (HTTPA), um die Online-Sicherheit durch Remote-Zertifizierung zu verbessern.
Eine Möglichkeit für Anwendungen, die Gewissheit zu erlangen, dass Daten von vertrauenswürdiger Software in sicheren Ausführungsumgebungen verarbeitet werden. Eine hardwarebasierte Trusted Execution Environment (TEE) kann verwendet werden, wie beispielsweise die Intel Software Guard Extension (Intel SGX).
Seit Intel Software Guard-Erweiterung (Intel SGX) bietet In-Memory-Verschlüsselung um zum Schutz laufender Computer beizutragen, um das Risiko des Durchsickerns oder der illegalen Änderung privater Informationen zu verringern. Das Kernkonzept von SGX ermöglicht die Berechnung innerhalb des Gehäuses, einer geschützten Umgebung, die Codes und Daten im Zusammenhang mit einer sicherheitsrelevanten Berechnung verschlüsselt.
Darüber hinaus ist der SGX bietet Sicherheitsgarantien durch Fernzertifizierung für den Web-Client, einschließlich der Identität des Anbieters und der Verifizierungsidentität.
„Hier bieten wir ein HTTPS attestable HTTP Protocol (HTTPA) an, das den Remote-Bestätigungsprozess für das HTTPS-Protokoll umfasst, um Datenschutz- und Sicherheitsbedenken auszuräumen“, sagt Intel.
"Mit HTTPA können wir Sicherheitsgarantien bieten, um die Zuverlässigkeit von Webdiensten zu gewährleisten und die Integrität der Verarbeitung von Anfragen für Webbenutzer zu gewährleisten", sagen King und Wang. Wir glauben, dass die Remote-Bestätigung ein neuer Trend sein wird, um die Sicherheit zu reduzieren. Risiken von Webdiensten, und wir bieten das HTTPA-Protokoll an, um die Web-Bestätigung und den Zugriff auf Dienste auf eine standardisierte und effiziente Weise zu vereinheitlichen. «
Intel verwendet die Remote-Bestätigung als grundlegende Schnittstelle für Benutzer oder Webdienste, um Vertrauen als sicheren vertrauenswürdigen Kanal zur Übermittlung von Geheimnissen oder vertraulichen Informationen aufzubauen. Um dieses Ziel zu erreichen, fügen wir einen neuen Satz von HTTP-Methoden hinzu, einschließlich HTTP-Preflight-Anfrage / -Antwort, HTTP-Bestätigungsanforderung / -Antwort, HTTP-Anfrage / -Antwort für vertrauenswürdige Sitzungen, um eine Remote-Bestätigung zu erreichen, die es Benutzern ermöglicht, und zu den Webdiensten eine Verbindung direkt zum laufenden Code.
HTTPA wurde entwickelt, um eine Remote-Zertifizierung bereitzustellen und vertrauliche Computergarantien zwischen einem Client und einem Server bei der Nutzung des Webs über das Internet. Bei HTTPA gehen wir davon aus, dass der Client vertrauenswürdig ist und der Server nicht. Der Kundenbenutzer kann diese Garantien überprüfen, um zu entscheiden, ob er den Rechenworkloads auf dem Server vertrauen und sie ausführen kann oder nicht. HTTPA bietet jedoch keine Garantie dafür, dass der Server vertrauenswürdig ist. HTTPA besteht aus zwei Teilen: Kommunikation und Computing.
Was die Kommunikationssicherheit anbelangt, HTTPA übernimmt alle Annahmen von HTTPS für die Kommunikationssicherheit, einschließlich der Verwendung von TLS und sicherer Kommunikation, insbesondere die Verwendung von TLS und die Überprüfung der Identität der Person. In Bezug auf die Rechensicherheit erfordert das HTTPA-Protokoll die Bereitstellung eines zusätzlichen Sicherheitsstatus der Remote-Bestätigung für IT-Workloads, die innerhalb der sicheren Enklave auftreten, damit der Kundenbenutzer die Workloads im verschlüsselten Speicher ausführen kann.
King und Wang sagten:
„Wir glauben, dass HTTPA für bestimmte Branchen potenziell von Vorteil sein könnte, zum Beispiel FinTech und das Gesundheitswesen. Auf die Frage, ob das Protokoll Dienste mit strengen Bandbreiten- oder Latenzanforderungen stören könnte, antworteten sie: „Weitere Untersuchungen wären erforderlich, um jegliche Leistungseinbußen zu bestätigen; Wir erwarten jedoch keine wesentlichen Leistungsänderungen von anderen HTTPS-Protokollen. Ob bzw. wann HTTPA übernommen werden könnte, ist unklar. Auf die Frage, ob es Pläne gäbe, die Spezifikation als RFC einzureichen oder eine andere Form der Standardisierung vorzunehmen, antworteten sie: „Wir haben laufende Diskussionen, die von Intels Rechtsabteilung überprüft werden müssen, bevor wir HTTPA einführen können. «
Wenn Sie mehr darüber erfahren möchten, können Sie die Details konsultieren im folgenden Link.