HTTPA、信頼できる環境でのWebサービスのプロトコル

Darkcrizt

4分

HTTPSは現在、Webアプリケーションの主要なプロトコルです 一定レベルの機密性と整合性を備えた高速で安全な接続を提供します。 ただし、HTTPSはセキュリティ保証を提供できません 計算のアプリケーションデータに、 IT環境にはリスクと脆弱性があります。

これを考えると、XNUMX人のインテルの従業員は、信頼できるリモート実行環境(TEE)で計算を実行するだけでなく、それが実行されたことをクライアントに確認することによって、Webサービスをより安全にできると考えています。

ゴードンキング、ソフトウェアエンジニアおよび ハンス・ワン、 Intel Labsの研究者、 彼らはこれを可能にするプロトコルを提案しました。 タイトルの記事で:「HTTPA: 最近ArXivで公開された「HTTPSAttestableProtocol」では、リモート認証を通じてオンラインセキュリティを向上させるHTTPS Attestable(HTTPA)と呼ばれるHTTPプロトコルについて説明しています。

安全な実行環境で信頼できるソフトウェアによってデータが処理されることをアプリケーションが保証する方法。 Intel Software Guard Extension(Intel SGX)などのハードウェアベースの信頼できる実行環境(TEE)を使用できます。

Intel Software GuardExtension以降 (Intel SGX)はメモリ内暗号化を提供します 実行中のコンピューターを保護して、個人情報の漏洩または違法な変更のリスクを軽減するのに役立ちます。 SGXのコアコンセプトにより、セキュリティ上重要な計算に関連するコードとデータを暗号化する保護された環境であるエンクロージャー内で計算を実行できます。

さらに、SGX リモート認証を通じてセキュリティ保証を提供します プロバイダーのIDと検証IDを含むWebクライアント用。

「ここでは、HTTPS Attestable HTTP Protocol(HTTPA)を提供しています。これには、プライバシーとセキュリティの懸念に対処するためのHTTPSプロトコルのリモート認証プロセスが含まれています」とIntelは述べています。

「HTTPAを使用すると、セキュリティ保証を提供してWebサービスの信頼性を確立し、Webユーザーの要求の処理の整合性を確保できます」とKingとWangは述べています。リモート認証は新しいトレンドになると考えています。 Webサービスのセキュリティリスク。HTTPAプロトコルを提供して、Web認証とサービスへのアクセスを標準的かつ効率的な方法で統合します。 «

インテルは、ユーザーまたはWebサービスの基本インターフェースとしてリモート認証を使用して、秘密または機密情報を配信するための安全な信頼できるチャネルとしての信頼を確立します。 この目標を達成するために、HTTPプリフライトリクエスト/レスポンス、HTTPアテステーションリクエスト/レスポンス、HTTPトラステッドセッションリクエスト/レスポンスを含む新しいHTTPメソッドのセットを追加して、ユーザーとWebサービスが接続を確立できるリモートアテステーションを実現します。実行中のコードに直接。

HTTPAは、リモート認証を提供するように設計されています また、インターネットを介してWebを使用する場合、クライアントとサーバー間の機密コンピューターが保証されます。 HTTPAの場合、クライアントは信頼でき、サーバーは信頼できないと想定しています。 お客様のユーザーは、これらの保証を確認して、サーバー上でコンピューティングワークロードを信頼して実行できるかどうかを判断できます。 ただし、HTTPAは、サーバーが信頼できることを保証するものではありません。 HTTPAには、通信とコンピューティングのXNUMXつの部分があります。

通信のセキュリティについては、 HTTPAは、TLSや安全な通信の使用を含め、通信セキュリティのためにHTTPSのすべての前提条件を取ります特に、TLSの使用と個人の身元の確認。 計算セキュリティに関して、HTTPAプロトコルでは、顧客ユーザーが暗号化されたメモリでワークロードを実行できるように、ITワークロードが安全なエンクレーブ内で発生するためのリモート認証の追加の保証状態を提供する必要があります。

キングとワンは言った:

「HTTPAは、FinTechやヘルスケアなどの特定の業界にとって潜在的に有益である可能性があると考えています。 プロトコルが厳しい帯域幅または遅延要件を持つサービスに干渉する可能性があるかどうかを尋ねられたとき、彼らは次のように答えました。 ただし、他のHTTPSプロトコルによるパフォーマンスの大幅な変更は予想されていません。 HTTPAを採用できるかどうか、いつ採用できるかは不明です。 仕様をRFCとして提出する計画があるのか​​、それとも他の形式の標準化を行う計画があるのか​​と尋ねられたとき、彼らは次のように答えました。 «

最後に、それについてもっと知りたい場合は、詳細を調べることができます 次のリンクで。


コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。