HTTPS הוא כיום הפרוטוקול הראשי עבור יישומי אינטרנט הוא מספק חיבור מהיר ומאובטח עם רמה מסוימת של סודיות ושלמות. עם זאת, HTTPS אינו יכול לספק ערובות אבטחה על נתוני היישום בחישוב, אז סביבת ה-IT מציגה סיכונים ופגיעויות.
בהתחשב בכך, שני עובדי אינטל מאמינים שניתן להפוך שירותי אינטרנט לאבטחים יותר לא רק על ידי ביצוע חישובים בסביבות ביצוע מרחוק מהימנות, או TEE, אלא גם על ידי אימות עבור לקוחות שזה בוצע.
מלך גורדון, מהנדס תוכנה ו הנס וואנג, חוקר מעבדות אינטל, הם הציעו פרוטוקול שיאפשר זאת. במאמר שכותרתו: "Http: פרוטוקול HTTPS Attestable”, שפורסם לאחרונה ב-ArXiv, מתאר פרוטוקול HTTP הנקרא HTTPS Attestable (HTTPA) לשיפור האבטחה המקוונת באמצעות הסמכה מרחוק.
דרך ליישומים להשיג ביטחון שהנתונים יעובדו על ידי תוכנה מהימנה בסביבות ביצוע מאובטחות. ניתן להשתמש בסביבת ביצוע מהימנה (TEE) מבוססת חומרה, כגון תוסף Intel Software Guard (Intel SGX).
מאז אינטל Software Guard Extension (Intel SGX) מספק הצפנה בזיכרון כדי לסייע בהגנה על מחשבים פועלים כדי להפחית את הסיכון של דליפה או שינוי לא חוקי של מידע פרטי. תפיסת הליבה של SGX מאפשרת לחישוב להתבצע בתוך המתחם, סביבה מוגנת המצפינה קודים ונתונים הקשורים לחישוב רגיש לאבטחה.
יתר על כן, ה-SGX מציע ערבויות אבטחה באמצעות הסמכה מרחוק עבור לקוח האינטרנט, כולל זהות הספק וזהות האימות.
"כאן אנו מציעים פרוטוקול HTTPS Attestable HTTP (HTTPA), הכולל את תהליך האישור מרחוק בפרוטוקול HTTPS כדי לתת מענה לדאגות הפרטיות והאבטחה", אומרת אינטל.
"עם HTTPA, אנו יכולים לספק ערבויות אבטחה כדי לבסס את המהימנות של שירותי האינטרנט ולהבטיח את שלמות עיבוד הבקשות עבור משתמשי אינטרנט", אומרים קינג ו-ואנג. אנו מאמינים שאישור מרחוק יהפוך לטרנד חדש. אומץ כדי לצמצם את סיכוני אבטחה של שירותי אינטרנט, ואנו מציעים את פרוטוקול HTTPA לאיחוד אישורי אינטרנט וגישה לשירותים בצורה סטנדרטית ויעילה. «
אינטל משתמשת באישור מרחוק כממשק הבסיסי למשתמשים או לשירותי אינטרנט כדי לבסס אמון כערוץ מהימן מאובטח להעברת סודות או מידע סודי. כדי להשיג מטרה זו, אנו מוסיפים סט חדש של שיטות HTTP, כולל בקשה/תגובה מוקדמת של HTTP, בקשה/תגובה לאישור HTTP, בקשה/תגובה של הפעלה מהימנה של HTTP, כדי להשיג אישור מרחוק המאפשר למשתמשים ולשירותי האינטרנט ליצור חיבור ישירות לקוד הפועל.
HTTPA נועד לספק הסמכה מרחוק וערבויות מחשב סודיות בין לקוח לשרת בעת שימוש באינטרנט דרך האינטרנט. במקרה של HTTPA, אנו מניחים שהלקוח אמין והשרת לא. משתמש הלקוח יכול לבדוק ערבויות אלה כדי להחליט אם הוא יכול לסמוך ולהפעיל את עומסי המחשוב בשרת או לא. עם זאת, HTTPA אינו מציע שום ערובה לכך שהשרת אמין. ל-HTTPA שני חלקים: תקשורת ומחשוב.
לגבי אבטחת התקשורת, HTTPA לוקח את כל ההנחות של HTTPS לאבטחת תקשורת, כולל שימוש ב-TLS ותקשורת מאובטחת, בפרט השימוש ב-TLS ואימות זהות האדם. לגבי אבטחה חישובית, פרוטוקול HTTPA דורש מתן מצב ביטחון נוסף של אישור מרחוק לעומסי עבודה של IT שיתרחשו בתוך המובלעת המאובטחת, כך שהמשתמש של הלקוח יוכל להפעיל את עומסי העבודה בזיכרון מוצפן.
קינג וואנג אמרו:
"אנו מאמינים ש-HTPA עשוי להיות מועיל עבור תעשיות מסוימות, למשל FinTech ושירותי בריאות. כשנשאלו אם הפרוטוקול עלול להפריע לשירותים שיש להם דרישות רוחב פס או חביון מחמירות, הם השיבו: "יש צורך בחקירה נוספת כדי לאשר כל השפעה על הביצועים; עם זאת, אנו לא מצפים לשינויים משמעותיים בביצועים מפרוטוקולי HTTPS אחרים. לא ברור אם או מתי ניתן לאמץ HTTPA. כשנשאלו אם יש תוכניות להגיש את המפרט כ-RFC או לבצע צורה אחרת של סטנדרטיזציה, הם השיבו: "יש לנו דיונים מתמשכים שצריכים להיבדק על ידי הצוות המשפטי של אינטל לפני שנוכל לאמץ HTTPA. «
לבסוף, אם אתה מעוניין לדעת יותר על כך, תוכל להתייעץ עם הפרטים בקישור הבא.