HTTPS este în prezent principalul protocol pentru aplicațiile web care asigură o conexiune rapidă și sigură cu un anumit nivel de confidențialitate și integritate. Cu toate acestea, HTTPS nu poate oferi garanții de securitate. despre datele de solicitare din calcul, deci Mediul IT prezintă riscuri și vulnerabilități.
Având în vedere acest lucru, doi angajați Intel consideră că serviciile web pot fi securizate nu numai prin efectuarea de calcule în medii de execuție la distanță de încredere, sau TEE-uri, ci și prin verificarea clienților că acest lucru a fost făcut.
Regele Gordon, inginer software și Hans Wang, cercetător Intel Labs, Ei au propus un protocol pentru a face acest lucru posibil. Într-un articol intitulat: „HTTPA: HTTPS Attestable Protocol”, publicat recent pe ArXiv, descrie un protocol HTTP numit HTTPS Attestable (HTTPA) pentru a îmbunătăți securitatea online prin certificare de la distanță.
O modalitate prin care aplicațiile pot obține asigurarea că datele vor fi procesate de software de încredere în medii de execuție sigure. Poate fi utilizat un mediu de execuție de încredere (TEE) bazat pe hardware, cum ar fi Intel Software Guard Extension (Intel SGX).
De la Intel Software Guard Extension (Intel SGX) oferă criptare în memorie pentru a ajuta la protejarea calculatoarelor care rulează pentru a reduce riscul scurgerii sau modificării ilegale a informațiilor private. Conceptul de bază al SGX permite ca calculul să aibă loc în incintă, un mediu protejat care criptează codurile și datele legate de un calcul sensibil la securitate.
În plus, SGX oferă garanții de securitate prin certificare la distanță pentru clientul web, inclusiv identitatea furnizorului și identitatea de verificare.
„Aici oferim un HTTPS Attestable HTTP Protocol (HTTPA), care include procesul de atestare la distanță în protocolul HTTPS pentru a aborda problemele de confidențialitate și securitate”, spune Intel.
„Cu HTTPA, putem oferi garanții de securitate pentru a stabili fiabilitatea serviciilor web și pentru a asigura integritatea procesării cererilor pentru utilizatorii web”, spun King și Wang. Credem că atestarea de la distanță va deveni o nouă tendință adoptată pentru a reduce riscurile de securitate ale web. servicii și oferim protocolul HTTPA pentru a unifica atestarea web și accesul la servicii într-un mod standard și eficient. «
Intel folosește atestarea de la distanță ca interfață de bază pentru utilizatori sau servicii web pentru a stabili încrederea ca un canal sigur de încredere pentru a furniza secrete sau informații sensibile. Pentru a atinge acest obiectiv, adăugăm un nou set de metode HTTP, inclusiv cerere/răspuns de verificare prealabilă HTTP, cerere/răspuns de atestare HTTP, cerere/răspuns de sesiune de încredere HTTP, pentru a obține o atestare de la distanță care permite utilizatorilor și serviciilor web să stabilească o conexiune direct la codul de rulare.
HTTPA este conceput pentru a oferi certificare la distanță și garanții computerizate confidențiale între un client și un server atunci când se utilizează web-ul prin Internet. În cazul HTTPA, presupunem că clientul este de încredere, iar serverul nu. Utilizatorul client poate verifica aceste garanții pentru a decide dacă poate avea încredere și rula sarcinile de lucru de calcul pe server sau nu. Cu toate acestea, HTTPA nu oferă nicio garanție că serverul este demn de încredere. HTTPA are două părți: comunicare și calcul.
În ceea ce privește securitatea comunicațiilor, HTTPA preia toate ipotezele HTTPS pentru securitatea comunicațiilor, inclusiv utilizarea TLS și comunicarea securizată, în special utilizarea TLS și verificarea identității persoanei. În ceea ce privește securitatea computațională, protocolul HTTPA necesită furnizarea unui statut suplimentar de asigurare a atestării de la distanță pentru încărcăturile de lucru IT care urmează să fie efectuate în enclava securizată, astfel încât utilizatorul client să poată rula sarcinile de lucru pe memorie criptată.
Regele și Wang au spus:
„Credem că HTTPA ar putea fi benefic pentru anumite industrii, de exemplu, FinTech și asistența medicală. Când au fost întrebați dacă protocolul ar putea interfera cu serviciile care au cerințe stricte de lățime de bandă sau de latență, aceștia au răspuns: „Ar fi necesară o explorare suplimentară pentru a confirma orice impact asupra performanței; Cu toate acestea, nu ne așteptăm la nicio modificare semnificativă a performanței de la alte protocoale HTTPS. În ceea ce privește dacă sau când ar putea fi adoptat HTTPA, nu este clar. Când au fost întrebați dacă există planuri de a prezenta specificația ca RFC sau de a întreprinde o altă formă de standardizare, ei au răspuns: „Avem discuții în desfășurare care trebuie revizuite de echipa juridică a Intel înainte de a putea adopta HTTPA. «
În cele din urmă, dacă sunteți interesat să aflați mai multe despre aceasta, puteți consulta detaliile În următorul link.