Το HTTPS είναι επί του παρόντος το κύριο πρωτόκολλο για εφαρμογές web Παρέχει γρήγορη και ασφαλή σύνδεση με ένα ορισμένο επίπεδο εμπιστευτικότητας και ακεραιότητας. Ωστόσο, το HTTPS δεν μπορεί να παρέχει εγγυήσεις ασφαλείας σχετικά με τα δεδομένα της εφαρμογής στον υπολογισμό, έτσι Το περιβάλλον πληροφορικής παρουσιάζει κινδύνους και ευπάθειες.
Λαμβάνοντας υπόψη αυτό, δύο υπάλληλοι της Intel πιστεύουν ότι οι υπηρεσίες Ιστού μπορούν να γίνουν πιο ασφαλείς όχι μόνο με την εκτέλεση υπολογισμών σε αξιόπιστα περιβάλλοντα απομακρυσμένης εκτέλεσης ή TEE, αλλά και με την επαλήθευση για τους πελάτες ότι έχει γίνει.
Γκόρντον Κινγκ, μηχανικός λογισμικού και Χανς Γουάνγκ, Ερευνητής της Intel Labs, πρότειναν ένα πρωτόκολλο για να γίνει αυτό δυνατό. Σε άρθρο με τίτλο: «Http: HTTPS Attestable Protocol », που δημοσιεύτηκε πρόσφατα στο ArXiv, περιγράφει ένα πρωτόκολλο HTTP που ονομάζεται HTTPS Attestable (HTTPA) για τη βελτίωση της διαδικτυακής ασφάλειας μέσω απομακρυσμένης πιστοποίησης.
Ένας τρόπος για να αποκτήσουν οι εφαρμογές τη βεβαιότητα ότι τα δεδομένα θα υποβληθούν σε επεξεργασία από αξιόπιστο λογισμικό σε ασφαλή περιβάλλοντα εκτέλεσης. Μπορεί να χρησιμοποιηθεί ένα Trusted Execution Environment (TEE) βασισμένο σε υλικό, όπως το Intel Software Guard Extension (Intel SGX).
Από την επέκταση Intel Software Guard (Intel SGX) παρέχει κρυπτογράφηση στη μνήμη για να βοηθήσετε στην προστασία των υπολογιστών που λειτουργούν για να μειώσετε τον κίνδυνο διαρροής ή παράνομης τροποποίησης προσωπικών πληροφοριών. Η βασική ιδέα του SGX επιτρέπει στον υπολογισμό να πραγματοποιείται εντός του περιβλήματος, ένα προστατευμένο περιβάλλον που κρυπτογραφεί κώδικες και δεδομένα που σχετίζονται με έναν υπολογισμό ευαίσθητο στην ασφάλεια.
Επιπλέον, το SGX προσφέρει εγγυήσεις ασφάλειας μέσω απομακρυσμένης πιστοποίησης για τον πελάτη Ιστού, συμπεριλαμβανομένης της ταυτότητας του παρόχου και της ταυτότητας επαλήθευσης.
«Εδώ προσφέρουμε ένα πρωτόκολλο HTTP με δυνατότητα επικύρωσης HTTPS (HTTPA), το οποίο περιλαμβάνει τη διαδικασία απομακρυσμένης βεβαίωσης στο πρωτόκολλο HTTPS για την αντιμετώπιση προβλημάτων απορρήτου και ασφάλειας», λέει η Intel.
"Με το HTTPA, μπορούμε να παρέχουμε εγγυήσεις ασφαλείας για να εδραιώσουμε την αξιοπιστία των υπηρεσιών Ιστού και να διασφαλίσουμε την ακεραιότητα της επεξεργασίας των αιτημάτων για τους χρήστες του Ιστού", λένε οι King και Wang. Πιστεύουμε ότι η απομακρυσμένη βεβαίωση θα γίνει μια νέα τάση. υιοθετήθηκε για τη μείωση του κινδύνους ασφαλείας των υπηρεσιών Ιστού και προσφέρουμε το πρωτόκολλο HTTPA για την ενοποίηση της βεβαίωσης ιστού και της πρόσβασης σε υπηρεσίες με τυπικό και αποτελεσματικό τρόπο. «
Η Intel χρησιμοποιεί την απομακρυσμένη βεβαίωση ως τη βασική διεπαφή για τους χρήστες ή τις υπηρεσίες Ιστού για να δημιουργήσει εμπιστοσύνη ως ένα ασφαλές αξιόπιστο κανάλι για την παροχή μυστικών ή εμπιστευτικών πληροφοριών. Για να επιτύχουμε αυτόν τον στόχο, προσθέτουμε ένα νέο σύνολο μεθόδων HTTP, συμπεριλαμβανομένων αιτήματος / απόκρισης πριν από την πτήση HTTP, αίτημα / απόκριση βεβαίωσης HTTP, αίτημα / απόκριση αξιόπιστης περιόδου λειτουργίας HTTP, για την επίτευξη απομακρυσμένης βεβαίωσης που επιτρέπει στους χρήστες και τις υπηρεσίες Ιστού να δημιουργήσουν απευθείας σύνδεση στον τρέχοντα κώδικα.
Το HTTPA έχει σχεδιαστεί για να παρέχει απομακρυσμένη πιστοποίηση και εμπιστευτικές εγγυήσεις υπολογιστή μεταξύ ενός πελάτη και ενός διακομιστή κατά τη χρήση του Ιστού μέσω του Διαδικτύου. Στην περίπτωση του HTTPA, υποθέτουμε ότι ο πελάτης είναι αξιόπιστος και ο διακομιστής όχι. Ο χρήστης πελάτης μπορεί να ελέγξει αυτές τις εγγυήσεις για να αποφασίσει εάν μπορεί να εμπιστευτεί και να εκτελέσει τους υπολογιστικούς φόρτους εργασίας στον διακομιστή ή όχι. Ωστόσο, το HTTPA δεν παρέχει καμία εγγύηση ότι ο διακομιστής είναι αξιόπιστος. Το HTTPA έχει δύο μέρη: επικοινωνία και υπολογιστική.
Όσον αφορά την ασφάλεια της επικοινωνίας, Το HTTPA λαμβάνει όλες τις παραδοχές του HTTPS για την ασφάλεια της επικοινωνίας, συμπεριλαμβανομένης της χρήσης του TLS και της ασφαλούς επικοινωνίας, ιδίως τη χρήση TLS και την επαλήθευση της ταυτότητας του ατόμου. Όσον αφορά την υπολογιστική ασφάλεια, το πρωτόκολλο HTTPA απαιτεί την παροχή μιας πρόσθετης κατάστασης διασφάλισης απομακρυσμένης βεβαίωσης για φόρτους εργασίας IT που εμφανίζονται εντός του ασφαλούς θύλακα, έτσι ώστε ο χρήστης πελάτης να μπορεί να εκτελεί τους φόρτους εργασίας σε κρυπτογραφημένη μνήμη.
Ο King και ο Wang είπαν:
«Πιστεύουμε ότι το HTTPA θα μπορούσε ενδεχομένως να είναι επωφελές για ορισμένες βιομηχανίες, για παράδειγμα το FinTech και την υγειονομική περίθαλψη. Όταν ρωτήθηκαν εάν το πρωτόκολλο θα μπορούσε να παρεμβαίνει σε υπηρεσίες που έχουν αυστηρές απαιτήσεις εύρους ζώνης ή καθυστέρησης, απάντησαν: «Θα χρειαζόταν περαιτέρω εξερεύνηση για να επιβεβαιωθεί ο αντίκτυπος στην απόδοση. Ωστόσο, δεν αναμένουμε σημαντικές αλλαγές απόδοσης από άλλα πρωτόκολλα HTTPS. Ως προς το εάν ή πότε θα μπορούσε να υιοθετηθεί το HTTPA, δεν είναι σαφές. Όταν ρωτήθηκαν εάν υπήρχαν σχέδια να υποβληθεί η προδιαγραφή ως RFC ή να γίνει κάποια άλλη μορφή τυποποίησης, απάντησαν: «Έχουμε συνεχείς συζητήσεις που πρέπει να εξεταστούν από τη νομική ομάδα της Intel προτού μπορέσουμε να υιοθετήσουμε το HTTPA. «
Τέλος, εάν ενδιαφέρεστε να μάθετε περισσότερα για αυτό, μπορείτε να συμβουλευτείτε τις λεπτομέρειες Στον ακόλουθο σύνδεσμο.