A HTTPS jelenleg a webalkalmazások fő protokollja Gyors és biztonságos kapcsolatot biztosít bizonyos szintű bizalmas és integritás mellett. A HTTPS azonban nem nyújthat biztonsági garanciát a számításban szereplő pályázati adatokon, tehát az informatikai környezet kockázatokat és sebezhetőségeket rejt magában.
Ennek fényében az Intel két alkalmazottja úgy véli, hogy a webszolgáltatások biztonságosabbá tehetők nemcsak megbízható távoli végrehajtási környezetekben vagy TEE-ben végzett számításokkal, hanem azzal is, hogy a kliensek ellenőrzik, hogy ez megtörtént.
Gordon King, szoftvermérnök és Hans Wang, Intel Labs kutató, protokollt javasoltak ennek lehetővé tételére. A következő cikkben: „Http: HTTPS Attestable Protocol ”, amelyet nemrégiben tettek közzé az ArXiven, egy HTTPS Attestable (HTTPA) nevű HTTP protokollt ír le, amely távoli tanúsítással javítja az online biztonságot.
Egy módja annak, hogy az alkalmazások megbizonyosodjanak arról, hogy az adatokat megbízható szoftverek dolgozzák fel biztonságos végrehajtási környezetben. Hardver alapú Trusted Execution Environment (TEE) használható, például az Intel Software Guard Extension (Intel SGX).
Az Intel Software Guard kiterjesztése óta (Intel SGX) a memórián belüli titkosítást biztosítja a futó számítógépek védelmében a személyes adatok kiszivárgásának vagy illegális módosításának kockázatának csökkentése érdekében. Az SGX alapkoncepciója lehetővé teszi, hogy a számítás a házon belül történjen, egy védett környezetben, amely titkosítja a biztonsági érzékeny számításokhoz kapcsolódó kódokat és adatokat.
Továbbá az SGX biztonsági garanciákat nyújt távoli tanúsítás révén a webes kliens számára, beleértve a szolgáltató személyazonosságát és ellenőrző azonosítóját.
"Itt egy HTTPS Attestable HTTP Protocolt (HTTPA) kínálunk, amely magában foglalja a HTTPS protokoll távoli tanúsítási folyamatát az adatvédelmi és biztonsági problémák megoldása érdekében" - mondja az Intel.
"A HTTPA-val biztonsági garanciákat tudunk nyújtani a webszolgáltatások megbízhatóságának megteremtésére és a kérések feldolgozásának integritásának biztosítására a webes felhasználók számára" - mondja King és Wang. Úgy gondoljuk, hogy a távoli tanúsítás új trend lesz. a webszolgáltatások biztonsági kockázatait, és a HTTPA protokollt kínáljuk a webes tanúsítás és a szolgáltatásokhoz való hozzáférés szabványos és hatékony egységesítésére. «
Az Intel a távoli tanúsítást használja a felhasználók vagy a webszolgáltatások alapvető felületeként, hogy bizalmat alakítson ki, mint biztonságos, megbízható csatornát a titkok vagy bizalmas információk továbbítására. A cél elérése érdekében a HTTP-módszerek új készletét adjuk hozzá, beleértve a HTTP-elővizsgálati kérést/választ, a HTTP-tanúsítási kérést/választ, a HTTP megbízható munkamenet-kérést/-választ, a távoli tanúsítás elérése érdekében, amely lehetővé teszi a felhasználók és a webszolgáltatások közvetlen kapcsolat létrehozását. a futó kódhoz.
A HTTPA távoli tanúsítás biztosítására szolgál és bizalmas számítógépes garanciák a kliens és a szerver között, amikor az internetet az interneten keresztül használják. HTTPA esetén feltételezzük, hogy a kliens megbízható, a szerver pedig nem. Az ügyfél-felhasználó ellenőrizheti ezeket a garanciákat, és eldöntheti, hogy megbízhat-e és futtathatja-e a számítási feladatokat a szerveren, vagy sem. A HTTPA azonban nem nyújt garanciát a szerver megbízhatóságára. A HTTPA két részből áll: kommunikáció és számítástechnika.
Ami a kommunikáció biztonságát illeti, A HTTPA a HTTPS összes feltételezését figyelembe veszi a kommunikáció biztonságára vonatkozóan, beleértve a TLS használatát és a biztonságos kommunikációt, különösen a TLS használata és a személy személyazonosságának ellenőrzése. A számítási biztonságot illetően a HTTPA protokoll további biztosítási állapotot igényel a távoli hitelesítéshez az informatikai munkaterhelések biztonságos enklávén belüli előfordulásához, így az ügyfél felhasználója titkosított memóriában futtathatja a terheléseket.
King és Wang azt mondta:
„Úgy gondoljuk, hogy a HTTPA potenciálisan előnyös lehet bizonyos iparágak, például a FinTech és az egészségügy számára. Arra a kérdésre, hogy a protokoll zavarhatja-e a szigorú sávszélesség- vagy késleltetési követelményeket támasztó szolgáltatásokat, a következőket válaszolták: „További kutatásra lenne szükség a teljesítményre gyakorolt hatások megerősítéséhez; más HTTPS-protokolloktól azonban nem számítunk jelentős teljesítménybeli változásra. Nem világos, hogy a HTTPA elfogadható-e, és mikor. Arra a kérdésre, hogy tervezik-e a specifikáció RFC-ként történő benyújtását vagy valamilyen más szabványosítási formát, azt válaszolták: „Folyamatban folynak a megbeszélések, amelyeket az Intel jogi csapatának felül kell vizsgálnia, mielőtt elfogadhatnánk a HTTPA-t. «
Végül, ha érdekel, hogy többet tudjon meg róla, olvassa el a részleteket A következő linken.