HTTPS er for tiden hovedprotokollen for nettapplikasjoner Det gir en rask og sikker forbindelse med et visst nivå av konfidensialitet og integritet. HTTPS kan imidlertid ikke gi sikkerhetsgarantier på søknadsdataene i beregningen, så IT-miljøet byr på risikoer og sårbarheter.
Gitt dette mener to Intel-ansatte at webtjenester kan gjøres sikrere, ikke bare ved å utføre beregninger i pålitelige eksterne kjøringsmiljøer, eller TEE, men også ved å verifisere for klienter at det er gjort.
Gordon King, programvareingeniør og Hans Wang, Intel Labs-forsker, de foreslo en protokoll for å gjøre dette mulig. I en artikkel med tittelen: "Http: HTTPS Attestable Protocol ”, nylig publisert på ArXiv, beskriver en HTTP-protokoll kalt HTTPS Attestable (HTTPA) for å forbedre online sikkerhet gjennom ekstern sertifisering.
En måte for applikasjoner å få sikkerhet for at data vil bli behandlet av pålitelig programvare i sikre utførelsesmiljøer. Et maskinvarebasert Trusted Execution Environment (TEE) kan brukes, for eksempel Intel Software Guard Extension (Intel SGX).
Siden Intel Software Guard Extension (Intel SGX) gir kryptering i minnet for å bidra til å beskytte kjørende datamaskiner for å redusere risikoen for lekkasje eller ulovlig endring av privat informasjon. SGXs kjernekonsept gjør at beregningen kan foregå innenfor kabinettet, et beskyttet miljø som krypterer koder og data knyttet til en sikkerhetssensitiv beregning.
Videre SGX tilbyr sikkerhetsgarantier gjennom fjernsertifisering for nettklienten, inkludert leverandørens identitet og bekreftelsesidentitet.
"Her tilbyr vi en HTTPS Attestable HTTP Protocol (HTTPA), som inkluderer fjernattesteringsprosessen på HTTPS-protokollen for å adressere personvern- og sikkerhetsproblemer," sier Intel.
"Med HTTPA kan vi gi sikkerhetsgarantier for å etablere påliteligheten til webtjenester og sikre integriteten til behandlingen av forespørsler for nettbrukere," sier King og Wang. Vi tror at fjernattestering vil bli en ny trend. tatt i bruk for å redusere sikkerhetsrisikoer ved webtjenester, og vi tilbyr HTTPA-protokollen for å forene web-attestering og tilgang til tjenester på en standard og effektiv måte. «
Intel bruker ekstern attestering som det grunnleggende grensesnittet for brukere eller webtjenester for å etablere tillit som en sikker klarert kanal for å levere hemmeligheter eller konfidensiell informasjon. For å oppnå dette målet legger vi til et nytt sett med HTTP-metoder, inkludert HTTP forhåndskontrollforespørsel/-svar, HTTP-attestasjonsforespørsel/-svar, HTTP-klarert sesjonsforespørsel/-svar, for å oppnå ekstern attestering som lar brukere og nettjenestene etablere en tilkobling direkte til kjørekoden.
HTTPA er designet for å gi ekstern sertifisering og konfidensielle datamaskingarantier mellom en klient og en server ved bruk av nettet over Internett. Når det gjelder HTTPA, antar vi at klienten er pålitelig og at serveren ikke er det. Kundebrukeren kan sjekke disse garantiene for å avgjøre om de kan stole på og kjøre dataarbeidsbelastningene på serveren eller ikke. HTTPA gir imidlertid ingen garanti for at serveren er pålitelig. HTTPA har to deler: kommunikasjon og databehandling.
Når det gjelder kommunikasjonssikkerhet, HTTPA tar alle forutsetningene til HTTPS for kommunikasjonssikkerhet, inkludert bruk av TLS og sikker kommunikasjon, spesielt bruken av TLS og verifiseringen av personens identitet. Når det gjelder beregningssikkerhet, krever HTTPA-protokollen å gi en ekstra sikkerhet for ekstern attestering for at IT-arbeidsbelastninger oppstår innenfor den sikre enklaven, slik at kundebrukeren kan kjøre arbeidsbelastningene i kryptert minne.
King og Wang sa:
«Vi tror at HTTPA potensielt kan være fordelaktig for visse bransjer, for eksempel FinTech og helsevesen. På spørsmål om protokollen kan forstyrre tjenester som har strenge krav til båndbredde eller ventetid, svarte de: «Ytterligere utforskning vil være nødvendig for å bekrefte ytelsespåvirkning; Vi forventer imidlertid ingen vesentlige ytelsesendringer fra andre HTTPS-protokoller. Det er uklart om eller når HTTPA kan tas i bruk. På spørsmål om det var planer om å sende inn spesifikasjonen som en RFC eller å gjennomføre en annen form for standardisering, svarte de: «Vi har pågående diskusjoner som må gjennomgås av Intels juridiske team før vi kan ta i bruk HTTPA. «
Til slutt, hvis du er interessert i å vite mer om det, kan du konsultere detaljene I den følgende lenken.