HTTPA, žiniatinklio paslaugų protokolas patikimose aplinkose

HTTPS šiuo metu yra pagrindinis žiniatinklio programų protokolas Tai užtikrina greitą ir saugų ryšį su tam tikru konfidencialumo ir vientisumo lygiu. Tačiau HTTPS negali užtikrinti saugumo garantijų dėl paraiškos duomenų apskaičiavime, todėl IT aplinka kelia pavojų ir pažeidžiamumą.

Atsižvelgdami į tai, du „Intel“ darbuotojai mano, kad žiniatinklio paslaugas galima padaryti saugesnėmis ne tik atliekant skaičiavimus patikimose nuotolinio vykdymo aplinkose arba TEE, bet ir tikrinant klientams, ar tai buvo atlikta.

Gordonas Karalius, programinės įrangos inžinierius ir Hansas Wangas, „Intel Labs“ tyrėjas, jie pasiūlė protokolą, kad tai būtų įmanoma. Straipsnyje pavadinimu: „Http: HTTPS Attestable Protocol “, neseniai paskelbtas ArXiv, aprašo HTTP protokolą, vadinamą HTTPS Attestable (HTTPA), kad pagerintų saugumą internete naudojant nuotolinį sertifikavimą.

Tai yra būdas programoms užtikrinti, kad duomenys bus apdorojami patikima programine įranga saugioje vykdymo aplinkoje. Galima naudoti aparatūros pagrindu sukurtą patikimą vykdymo aplinką (TEE), pvz., „Intel Software Guard Extension“ („Intel SGX“).

Nuo Intel programinės įrangos apsaugos plėtinio („Intel SGX“) užtikrina šifravimą atmintyje padėti apsaugoti veikiančius kompiuterius ir sumažinti privačios informacijos nutekėjimo ar neteisėto pakeitimo riziką. Pagrindinė SGX koncepcija leidžia atlikti skaičiavimus korpuse, apsaugotoje aplinkoje, kuri užšifruoja kodus ir duomenis, susijusius su saugumo požiūriu jautriu skaičiavimu.

Be to, SGX siūlo saugumo garantijas per nuotolinį sertifikavimą žiniatinklio klientui, įskaitant teikėjo tapatybę ir patvirtinimo tapatybę.

„Čia siūlome HTTPS patvirtinamąjį HTTP protokolą (HTTPA), kuris apima nuotolinio HTTPS protokolo atestavimo procesą, kad būtų išspręstos privatumo ir saugumo problemos“, – sako „Intel“.

„Naudodami HTTPA galime suteikti saugumo garantijas, kad sukurtume žiniatinklio paslaugų patikimumą ir užtikrintume interneto vartotojų užklausų apdorojimo vientisumą“, – sako Kingas ir Wangas. Manome, kad nuotolinis atestavimas taps nauja tendencija. priimta siekiant sumažinti interneto paslaugų saugumo rizikas, o mes siūlome HTTPA protokolą, kad suvienodintume žiniatinklio atestavimą ir prieigą prie paslaugų standartiniu ir efektyviu būdu. «

„Intel“ naudoja nuotolinį atestavimą kaip pagrindinę naudotojų ar žiniatinklio paslaugų sąsają, kad sukurtų pasitikėjimą kaip saugų patikimą kanalą paslapčių ar konfidencialios informacijos pateikimui. Norėdami pasiekti šį tikslą, pridedame naują HTTP metodų rinkinį, įskaitant HTTP išankstinio patikrinimo užklausą / atsakymą, HTTP patvirtinimo užklausą / atsakymą, HTTP patikimo seanso užklausą / atsakymą, kad būtų pasiektas nuotolinis patvirtinimas, leidžiantis vartotojams ir žiniatinklio paslaugoms tiesiogiai užmegzti ryšį. prie veikiančio kodo.

HTTPA skirtas nuotoliniam sertifikavimui teikti ir konfidencialios kompiuterio garantijos tarp kliento ir serverio naudojantis žiniatinkliu internetu. HTTPA atveju darome prielaidą, kad klientas yra patikimas, o serveris – ne. Kliento vartotojas gali patikrinti šias garantijas, kad nuspręstų, ar gali pasitikėti ir vykdyti skaičiavimo apkrovas serveryje, ar ne. Tačiau HTTPA nesuteikia jokios garantijos, kad serveris yra patikimas. HTTPA susideda iš dviejų dalių: ryšio ir skaičiavimo.

Kalbant apie ryšio saugumą, HTTPA naudoja visas HTTPS prielaidas ryšio saugumui, įskaitant TLS naudojimą ir saugų ryšį, ypač naudojant TLS ir tikrinant asmens tapatybę. Kalbant apie skaičiavimo saugą, HTTPA protokolas reikalauja suteikti papildomą nuotolinio patvirtinimo būseną, kad IT darbo krūviai įvyktų saugiame anklave, kad kliento vartotojas galėtų vykdyti darbo krūvius šifruotoje atmintyje.

Kingas ir Vangas pasakė:

„Manome, kad HTTPA gali būti naudingas tam tikroms pramonės šakoms, pavyzdžiui, FinTech ir sveikatos priežiūrai. Paklausti, ar protokolas gali trukdyti paslaugoms, kurioms taikomi griežti pralaidumo arba delsos reikalavimai, jie atsakė: „Reikėtų toliau tirti, kad būtų patvirtintas bet koks našumo poveikis; tačiau nesitikime jokių reikšmingų našumo pokyčių nuo kitų HTTPS protokolų. Neaišku, ar ir kada galima priimti HTTPA. Paklausti, ar planuojama pateikti specifikaciją kaip RFC, ar imtis kitokios standartizacijos formos, jie atsakė: „Vyksta diskusijos, kurias turi peržiūrėti Intel teisinė komanda, kad galėtume priimti HTTPA. «

Galiausiai, jei norite sužinoti apie tai daugiau, galite sužinoti išsamią informaciją Šioje nuorodoje.


Būkite pirmas, kuris pakomentuos

Palikite komentarą

Jūsų elektroninio pašto adresas nebus skelbiamas. Privalomi laukai yra pažymėti *

*

*

  1. Atsakingas už duomenis: Miguel Ángel Gatón
  2. Duomenų paskirtis: kontroliuoti šlamštą, komentarų valdymą.
  3. Įteisinimas: jūsų sutikimas
  4. Duomenų perdavimas: Duomenys nebus perduoti trečiosioms šalims, išskyrus teisinius įsipareigojimus.
  5. Duomenų saugojimas: „Occentus Networks“ (ES) talpinama duomenų bazė
  6. Teisės: bet kuriuo metu galite apriboti, atkurti ir ištrinti savo informaciją.