HTTPS est actuellement le protocole principal pour les applications Web Il fournit une connexion rapide et sécurisée avec un certain niveau de confidentialité et d'intégrité. Cependant, HTTPS ne peut pas fournir de garanties de sécurité sur les données d'application dans le calcul, donc l'environnement informatique présente des risques et des vulnérabilités.
Compte tenu de cela, deux employés d'Intel pensent que les services Web peuvent être rendus plus sécurisés non seulement en effectuant des calculs dans des environnements d'exécution à distance de confiance, ou TEE, mais également en vérifiant pour les clients que cela a été fait.
Roi Gordon, ingénieur logiciel et Hans Wang, Chercheur Intel Labs, ils ont proposé un protocole pour rendre cela possible. Dans un article intitulé : "HTTPA : HTTPS Attestable Protocol », récemment publié sur ArXiv, décrit un protocole HTTP appelé HTTPS Attestable (HTTPA) pour améliorer la sécurité en ligne grâce à la certification à distance.
Un moyen pour les applications de s'assurer que les données seront traitées par des logiciels de confiance dans des environnements d'exécution sécurisés. Un environnement d'exécution sécurisé (TEE) basé sur le matériel peut être utilisé, tel que l'extension Intel Software Guard (Intel SGX).
Depuis l'extension Intel Software Guard (Intel SGX) fournit un cryptage en mémoire pour aider à protéger les ordinateurs en fonctionnement afin de réduire le risque de fuite ou de modification illégale d'informations privées. Le concept de base de SGX permet au calcul d'avoir lieu dans l'enceinte, un environnement protégé qui crypte les codes et les données liés à un calcul sensible à la sécurité.
De plus, le SGX offre des garanties de sécurité grâce à la certification à distance pour le client Web, y compris l'identité du fournisseur et l'identité de vérification.
"Nous proposons ici un protocole HTTP attestable HTTPS (HTTPA), qui inclut le processus d'attestation à distance sur le protocole HTTPS pour répondre aux problèmes de confidentialité et de sécurité", déclare Intel.
"Avec HTTPA, nous pouvons fournir des garanties de sécurité pour établir la fiabilité des services Web et assurer l'intégrité du traitement des demandes des utilisateurs Web", déclarent King et Wang. Nous pensons que l'attestation à distance deviendra une nouvelle tendance adoptée pour réduire la sécurité. risques des services Web, et nous proposons le protocole HTTPA pour unifier l'attestation Web et l'accès aux services de manière standard et efficace. «
Intel utilise l'attestation à distance comme interface de base pour les utilisateurs ou les services Web afin d'établir la confiance en tant que canal de confiance sécurisé pour fournir des secrets ou des informations confidentielles. Pour atteindre cet objectif, nous ajoutons un nouvel ensemble de méthodes HTTP, y compris la demande/réponse de contrôle en amont HTTP, la demande/réponse d'attestation HTTP, la demande/réponse de session de confiance HTTP, pour obtenir une attestation à distance qui permet aux utilisateurs vers et vers les services Web d'établir un connexion directement au code en cours d'exécution.
HTTPA est conçu pour fournir une certification à distance et des garanties informatiques confidentielles entre un client et un serveur lors de l'utilisation du web sur Internet. Dans le cas de HTTPA, nous supposons que le client est digne de confiance et que le serveur ne l'est pas. L'utilisateur client peut vérifier ces garanties pour décider s'il peut faire confiance et exécuter les charges de travail de calcul sur le serveur ou non. Cependant, HTTPA n'offre aucune garantie que le serveur est digne de confiance. HTTPA comporte deux parties : la communication et l'informatique.
Concernant la sécurité des communications, HTTPA prend toutes les hypothèses de HTTPS pour la sécurité des communications, y compris l'utilisation de TLS et la communication sécurisée, notamment l'utilisation de TLS et la vérification de l'identité de la personne. En ce qui concerne la sécurité informatique, le protocole HTTPA nécessite de fournir un état d'assurance supplémentaire d'attestation à distance pour que les charges de travail informatiques se produisent dans l'enclave sécurisée afin que l'utilisateur client puisse exécuter les charges de travail dans la mémoire cryptée.
King et Wang ont dit :
« Nous pensons que HTTPA pourrait potentiellement être bénéfique pour certaines industries, par exemple les FinTech et les soins de santé. Lorsqu'on leur a demandé si le protocole pouvait interférer avec des services qui ont des exigences strictes en matière de bande passante ou de latence, ils ont répondu : « Une exploration plus approfondie serait nécessaire pour confirmer tout impact sur les performances ; cependant, nous ne nous attendons pas à des changements de performances significatifs de la part d'autres protocoles HTTPS. Quant à savoir si ou quand HTTPA pourrait être adopté, il n'est pas clair. Lorsqu'on leur a demandé s'il était prévu de soumettre la spécification en tant que RFC ou d'entreprendre une autre forme de normalisation, ils ont répondu : « Nous avons des discussions en cours qui doivent être examinées par l'équipe juridique d'Intel avant de pouvoir adopter HTTPA. «
Enfin, si vous souhaitez en savoir plus, vous pouvez consulter les détails dans le lien suivant.