HTTPA, protokol za web usluge u pouzdanim okruženjima

Darkcrizt

4 minuta

HTTPS je trenutno glavni protokol za web aplikacije Omogućuje brzu i sigurnu vezu s određenom razinom povjerljivosti i integriteta. Međutim, HTTPS ne može pružiti sigurnosna jamstva na podatke aplikacije u izračunu, dakle IT okruženje predstavlja rizike i ranjivosti.

S obzirom na to, dva Intelova zaposlenika vjeruju da se web-usluge mogu učiniti sigurnijima ne samo izvođenjem izračuna u pouzdanim okruženjima udaljenog izvršavanja, ili TEE, već i provjeravanjem za klijente da je to učinjeno.

Gordon kralj, softverski inženjer i Hans Wang, Intel Labs istraživač, predložili su protokol koji bi to omogućio. U članku pod naslovom: “http: HTTPS Attestable Protocol ”, nedavno objavljen na ArXiv-u, opisuje HTTP protokol nazvan HTTPS Attestable (HTTPA) za poboljšanje internetske sigurnosti putem daljinskog certificiranja.

Način na koji aplikacije mogu dobiti jamstvo da će podatke obraditi pouzdani softver u sigurnim okruženjima izvršavanja. Može se koristiti hardversko utemeljeno Trusted Execution Environment (TEE), kao što je Intel Software Guard Extension (Intel SGX).

Budući da Intel Software Guard Extension (Intel SGX) omogućuje šifriranje u memoriji kako bi se zaštitila računala koja rade kako bi se smanjio rizik od curenja ili nezakonite izmjene privatnih podataka. Osnovni koncept SGX-a omogućuje da se izračun odvija unutar kućišta, zaštićenog okruženja koje šifrira kodove i podatke povezane sa sigurnosno osjetljivim izračunom.

Nadalje, SGX nudi sigurnosna jamstva putem daljinske certifikacije za web klijenta, uključujući identitet davatelja i identitet za provjeru.

"Ovdje nudimo HTTPS Attestable HTTP Protocol (HTTPA), koji uključuje proces daljinske atestiranja HTTPS protokola radi rješavanja pitanja privatnosti i sigurnosti", kaže Intel.

"S HTTPA-om možemo pružiti sigurnosna jamstva za uspostavljanje pouzdanosti web usluga i osigurati integritet obrade zahtjeva za web korisnike", kažu King i Wang. Vjerujemo da će daljinsko ovjeravanje postati novi trend. usvojen kako bi se smanjio sigurnosni rizici web usluga, a nudimo HTTPA protokol za objedinjavanje web atestiranja i pristupa uslugama na standardan i učinkovit način. «

Intel koristi daljinsko ovjeravanje kao osnovno sučelje za korisnike ili web usluge kako bi uspostavio povjerenje kao siguran pouzdani kanal za isporuku tajni ili povjerljivih informacija. Da bismo postigli ovaj cilj, dodajemo novi skup HTTP metoda, uključujući HTTP zahtjev/odgovor za prethodnu provjeru, HTTP zahtjev/odgovor za potvrdu, HTTP zahtjev/odgovor pouzdane sesije, kako bismo postigli daljinsko ovjeravanje koje omogućuje korisnicima da i web-usluge uspostave vezu izravno na tekući kod.

HTTPA je dizajniran za pružanje daljinske certifikacije i povjerljive računalne garancije između klijenta i poslužitelja pri korištenju weba putem Interneta. U slučaju HTTPA, pretpostavljamo da je klijent pouzdan, a poslužitelj nije. Korisnik može provjeriti ta jamstva kako bi odlučio može li vjerovati i izvoditi računalna opterećenja na poslužitelju ili ne. Međutim, HTTPA ne nudi nikakvo jamstvo da je poslužitelj pouzdan. HTTPA ima dva dijela: komunikaciju i računalstvo.

Što se tiče sigurnosti komunikacije, HTTPA preuzima sve pretpostavke HTTPS-a za sigurnost komunikacije, uključujući korištenje TLS-a i sigurnu komunikaciju, posebice korištenje TLS-a i provjeru identiteta osobe. Što se tiče računalne sigurnosti, HTTPA protokol zahtijeva pružanje dodatnog stanja sigurnosti udaljenog atestiranja za IT radna opterećenja koja će se pojaviti unutar sigurne enklave, tako da korisnik može pokrenuti radna opterećenja u šifriranoj memoriji.

King i Wang su rekli:

“Vjerujemo da bi HTTPA potencijalno mogao biti koristan za određene industrije, na primjer FinTech i zdravstvenu skrb. Na pitanje bi li protokol mogao ometati usluge koje imaju stroge zahtjeve za propusnost ili kašnjenje, odgovorili su: “Bilo bi potrebno dodatno istraživanje kako bi se potvrdio bilo kakav utjecaj na performanse; međutim, ne očekujemo značajne promjene u izvedbi drugih HTTPS protokola. Nejasno je hoće li i kada HTTPA biti usvojen. Na pitanje postoje li planovi za podnošenje specifikacije kao RFC ili za poduzimanje nekog drugog oblika standardizacije, odgovorili su: “U tijeku su rasprave koje Intelov pravni tim treba pregledati prije nego što možemo usvojiti HTTPA. «

Napokon, ako vas zanima više o tome, možete potražiti detalje U sljedećem linku.


Ostavite svoj komentar

Vaša email adresa neće biti objavljen. Obavezna polja su označena s *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obvezi.
  5. Pohrana podataka: Baza podataka koju hostira Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.