HTTPS pašlaik ir galvenais tīmekļa lietojumprogrammu protokols Tas nodrošina ātru un drošu savienojumu ar noteiktu konfidencialitātes un integritātes līmeni. Tomēr HTTPS nevar nodrošināt drošības garantijas uz pieteikuma datiem aprēķinā, tā IT vide rada riskus un ievainojamības.
Ņemot to vērā, divi Intel darbinieki uzskata, ka tīmekļa pakalpojumus var padarīt drošākus, ne tikai veicot aprēķinus uzticamās attālās izpildes vidēs jeb TEE, bet arī pārbaudot klientiem, vai tas ir izdarīts.
Gordons Kings, programmatūras inženieris un Hanss Vangs, Intel Labs pētnieks, viņi ierosināja protokolu, lai tas būtu iespējams. Rakstā ar nosaukumu: "HTTP: HTTPS Attestable Protocol ”, nesen publicēts vietnē ArXiv, apraksta HTTP protokolu, ko sauc par HTTPS Attestable (HTTPA), lai uzlabotu tiešsaistes drošību, izmantojot attālo sertifikāciju.
Veids, kā lietojumprogrammas var iegūt pārliecību, ka datus apstrādās uzticama programmatūra drošā izpildes vidē. Var izmantot uz aparatūru balstītu uzticamu izpildes vidi (TEE), piemēram, Intel Software Guard paplašinājumu (Intel SGX).
Kopš Intel Software Guard paplašinājuma (Intel SGX) nodrošina atmiņas šifrēšanu lai palīdzētu aizsargāt strādājošos datorus, lai samazinātu privātās informācijas noplūdes vai nelikumīgas modifikācijas risku. SGX pamatkoncepcija ļauj aprēķinu veikt korpusā — aizsargātā vidē, kas šifrē kodus un datus, kas saistīti ar drošības jutīgu aprēķinu.
Turklāt SGX piedāvā drošības garantijas, izmantojot attālo sertifikāciju tīmekļa klientam, tostarp pakalpojumu sniedzēja identitāte un verifikācijas identitāte.
"Šeit mēs piedāvājam HTTPS apliecināmo HTTP protokolu (HTTPA), kas ietver HTTPS protokola attālās atestācijas procesu, lai risinātu privātuma un drošības problēmas," saka Intel.
"Izmantojot HTTPA, mēs varam nodrošināt drošības garantijas, lai nodrošinātu tīmekļa pakalpojumu uzticamību un nodrošinātu tīmekļa lietotāju pieprasījumu apstrādes integritāti," saka Kings un Vans. Mēs uzskatām, ka attālā atestācija kļūs par jaunu tendenci. pieņemts, lai samazinātu tīmekļa pakalpojumu drošības riskiem, un mēs piedāvājam HTTPA protokolu, lai vienotu tīmekļa atestāciju un piekļuvi pakalpojumiem standarta un efektīvā veidā. «
Intel izmanto attālo atestāciju kā pamata saskarni lietotājiem vai tīmekļa pakalpojumiem, lai izveidotu uzticību kā drošu uzticamu kanālu noslēpumu vai konfidenciālas informācijas sniegšanai. Lai sasniegtu šo mērķi, mēs pievienojam jaunu HTTP metožu kopu, tostarp HTTP pirmspārbaudes pieprasījumu/atbildi, HTTP atestācijas pieprasījumu/atbildi, HTTP uzticamas sesijas pieprasījumu/atbildi, lai panāktu attālo atestāciju, kas ļauj lietotājiem un tīmekļa pakalpojumiem izveidot savienojumu. tieši uz darba kodu.
HTTPA ir paredzēts attālās sertifikācijas nodrošināšanai un konfidenciālas datora garantijas starp klientu un serveri, izmantojot tīmekli internetā. HTTPA gadījumā mēs pieņemam, ka klients ir uzticams, bet serveris nav. Klienta lietotājs var pārbaudīt šīs garantijas, lai izlemtu, vai viņš var uzticēties un darbināt skaitļošanas slodzi serverī vai nē. Tomēr HTTPA nepiedāvā nekādas garantijas, ka serveris ir uzticams. HTTPA ir divas daļas: komunikācija un skaitļošana.
Runājot par sakaru drošību, HTTPA saziņas drošībai izmanto visus HTTPS pieņēmumus, tostarp TLS un drošas komunikācijas izmantošanu, jo īpaši TLS izmantošanu un personas identitātes pārbaudi. Attiecībā uz skaitļošanas drošību HTTPA protokolam ir nepieciešams nodrošināt papildu garantijas attālās atestācijas stāvokli IT darba slodzei, kas notiek drošajā anklāvā, lai klienta lietotājs varētu darbināt darba slodzes šifrētā atmiņā.
Karalis un Vans teica:
“Mēs uzskatām, ka HTTPA potenciāli varētu būt noderīgs noteiktām nozarēm, piemēram, FinTech un veselības aprūpei. Uz jautājumu, vai protokols varētu traucēt pakalpojumiem, kuriem ir stingras joslas platuma vai latentuma prasības, viņi atbildēja: “Būtu nepieciešama turpmāka izpēte, lai apstiprinātu jebkādu veiktspējas ietekmi. tomēr mēs negaidām būtiskas veiktspējas izmaiņas no citiem HTTPS protokoliem. Nav skaidrs, vai un kad HTTPA varētu pieņemt. Uz jautājumu, vai ir plānots iesniegt specifikāciju kā RFC vai veikt kādu citu standartizācijas veidu, viņi atbildēja: “Mums notiek diskusijas, kas Intel juridiskajai komandai ir jāpārskata, pirms mēs varam pieņemt HTTPA. «
Visbeidzot, ja jūs interesē uzzināt vairāk par to, varat uzzināt sīkāku informāciju Šajā saitē.