HTTPS is momenteel het belangrijkste protocol voor webapplicaties Het biedt een snelle en veilige verbinding met een bepaald niveau van vertrouwelijkheid en integriteit. HTTPS kan echter geen veiligheidsgaranties bieden op de aanvraaggegevens in de berekening, dus de IT-omgeving brengt risico's en kwetsbaarheden met zich mee.
Daarom zijn twee Intel-medewerkers van mening dat webservices niet alleen veiliger kunnen worden gemaakt door berekeningen uit te voeren in vertrouwde externe uitvoeringsomgevingen, of TEE, maar ook door voor klanten te verifiëren dat dit is gedaan.
Gordon King, software-engineer en Hans Wang, Intel Labs-onderzoeker, zij stelden een protocol voor om dit mogelijk te maken. In een artikel getiteld: “Http: HTTPS Attestable Protocol”, onlangs gepubliceerd op ArXiv, beschrijft een HTTP-protocol genaamd HTTPS Attestable (HTTPA) om de online beveiliging te verbeteren door middel van certificering op afstand.
Een manier voor applicaties om zekerheid te krijgen dat gegevens worden verwerkt door vertrouwde software in veilige uitvoeringsomgevingen. Er kan een op hardware gebaseerde Trusted Execution Environment (TEE) worden gebruikt, zoals de Intel Software Guard Extension (Intel SGX).
Sinds Intel Software Guard-extensie (Intel SGX) biedt codering in het geheugen om draaiende computers te helpen beschermen om het risico van lekkage of illegale wijziging van privé-informatie te verminderen. Dankzij het kernconcept van SGX kan de berekening plaatsvinden binnen de behuizing, een beschermde omgeving die codes en gegevens codeert die verband houden met een beveiligingsgevoelige berekening.
Verder is de SGX biedt veiligheidsgaranties door middel van certificering op afstand voor de webclient, inclusief de identiteit van de provider en de verificatie-identiteit.
"Hier bieden we een HTTPS Attestable HTTP Protocol (HTTPA), dat het externe attestproces op het HTTPS-protocol omvat om privacy- en beveiligingsproblemen aan te pakken", zegt Intel.
"Met HTTPA kunnen we beveiligingsgaranties bieden om de betrouwbaarheid van webservices vast te stellen en de integriteit van de verwerking van verzoeken voor webgebruikers te waarborgen", zeggen King en Wang. We zijn van mening dat attestatie op afstand een nieuwe trend zal worden. beveiligingsrisico's van webservices, en we bieden het HTTPA-protocol om webattestatie en toegang tot services op een standaard en efficiënte manier te verenigen. «
Intel gebruikt attestatie op afstand als de basisinterface voor gebruikers of webservices om vertrouwen te vestigen als een veilig vertrouwd kanaal om geheimen of vertrouwelijke informatie te leveren. Om dit doel te bereiken, voegen we een nieuwe set HTTP-methoden toe, waaronder HTTP-preflightverzoek/-antwoord, HTTP-attestverzoek/-antwoord, HTTP-vertrouwde sessieverzoek/-antwoord, om attest op afstand te verkrijgen waarmee gebruikers en de webservices rechtstreeks een verbinding tot stand kunnen brengen naar de lopende code.
HTTPA is ontworpen om certificering op afstand te bieden en vertrouwelijke computergaranties tussen een client en een server bij gebruik van internet via internet. In het geval van HTTPA gaan we ervan uit dat de client betrouwbaar is en de server niet. De klantgebruiker kan deze garanties controleren om te beslissen of ze de computerworkloads op de server kunnen vertrouwen en uitvoeren of niet. HTTPA biedt echter geen enkele garantie dat de server betrouwbaar is. HTTPA bestaat uit twee delen: communicatie en computergebruik.
Wat betreft de beveiliging van communicatie, HTTPA neemt alle aannames van HTTPS voor communicatiebeveiliging, inclusief het gebruik van TLS en veilige communicatie, in het bijzonder het gebruik van TLS en verificatie van de identiteit van de persoon. Met betrekking tot computerbeveiliging vereist het HTTPA-protocol dat er een extra zekerheidsstatus van externe attestatie wordt geboden voor IT-workloads die plaatsvinden binnen de beveiligde enclave, zodat de klantgebruiker de workloads in gecodeerd geheugen kan uitvoeren.
King en Wang zeiden:
“Wij zijn van mening dat HTTPA mogelijk gunstig kan zijn voor bepaalde industrieën, bijvoorbeeld FinTech en de gezondheidszorg. Op de vraag of het protocol services met strenge bandbreedte- of latentievereisten zou kunnen verstoren, antwoordden ze: "Verder onderzoek zou nodig zijn om eventuele impact op de prestaties te bevestigen; we verwachten echter geen significante prestatieveranderingen van andere HTTPS-protocollen. Of en wanneer HTTPA kan worden ingevoerd, is onduidelijk. Op de vraag of er plannen waren om de specificatie in te dienen als een RFC of om een andere vorm van standaardisatie door te voeren, antwoordden ze: “We hebben lopende discussies die door Intels juridische team moeten worden beoordeeld voordat we HTTPA kunnen invoeren. «
Als u er tenslotte meer over wilt weten, kunt u de details raadplegen In de volgende link.