HTTPS je v súčasnosti hlavným protokolom pre webové aplikácie Poskytuje rýchle a bezpečné pripojenie s určitou úrovňou dôvernosti a integrity. HTTPS však nemôže poskytnúť bezpečnostné záruky na aplikačných údajoch vo výpočte, tak IT prostredie predstavuje riziká a zraniteľné miesta.
Vzhľadom na to sa dvaja zamestnanci Intelu domnievajú, že webové služby môžu byť bezpečnejšie nielen vykonávaním výpočtov v dôveryhodných prostrediach vzdialeného spustenia alebo TEE, ale aj overením pre klientov, že to bolo vykonané.
Gordon King, softvérový inžinier a Hans Wang, výskumník Intel Labs, navrhli protokol, aby to bolo možné. V článku s názvom: „HTTP: HTTPS Attestable Protocol “, nedávno publikovaný na ArXiv, popisuje HTTP protokol s názvom HTTPS Attestable (HTTPA) na zlepšenie online bezpečnosti prostredníctvom vzdialenej certifikácie.
Spôsob, akým môžu aplikácie získať istotu, že údaje budú spracované dôveryhodným softvérom v bezpečných prostrediach vykonávania. Je možné použiť hardvérové prostredie Trusted Execution Environment (TEE), ako je Intel Software Guard Extension (Intel SGX).
Od Intel Software Guard Extension (Intel SGX) poskytuje šifrovanie v pamäti na pomoc pri ochrane spustených počítačov, aby sa znížilo riziko úniku alebo nezákonnej úpravy súkromných informácií. Základná koncepcia SGX umožňuje, aby výpočet prebiehal v kryte, chránenom prostredí, ktoré šifruje kódy a údaje súvisiace s výpočtom citlivým na bezpečnosť.
Okrem toho SGX ponúka záruky bezpečnosti prostredníctvom vzdialenej certifikácie pre webového klienta vrátane identity poskytovateľa a overovacej identity.
„Tu ponúkame HTTPS atestovateľný protokol HTTP (HTTPA), ktorý zahŕňa proces vzdialeného overovania protokolu HTTPS na riešenie problémov ochrany súkromia a bezpečnosti,“ hovorí Intel.
„S protokolom HTTPA môžeme poskytnúť bezpečnostné záruky na stanovenie spoľahlivosti webových služieb a zabezpečiť integritu spracovania žiadostí pre používateľov webu,“ hovoria King a Wang. Veríme, že overovanie na diaľku sa stane novým trendom. bezpečnostné riziká webových služieb a ponúkame protokol HTTPA, ktorý štandardným a efektívnym spôsobom zjednocuje webovú atestáciu a prístup k službám. «
Spoločnosť Intel používa vzdialené overenie ako základné rozhranie pre používateľov alebo webové služby na vytvorenie dôvery ako bezpečného dôveryhodného kanála na poskytovanie tajomstiev alebo dôverných informácií. Na dosiahnutie tohto cieľa pridávame novú sadu metód HTTP, vrátane požiadavky/odpovede na predbežnú kontrolu pred výstupom, žiadosti/odpoveď na overenie HTTP, požiadavky/odpovede na dôveryhodnú reláciu HTTP, aby sme dosiahli vzdialenú atestáciu, ktorá umožňuje používateľom pristupovať k webovým službám a vytvoriť pripojenie priamo k bežiacemu kódu.
HTTPA je navrhnutý tak, aby poskytoval vzdialenú certifikáciu a dôverné počítačové záruky medzi klientom a serverom pri používaní webu cez internet. V prípade HTTPA predpokladáme, že klient je dôveryhodný a server nie. Zákazník – používateľ si môže tieto záruky skontrolovať, aby sa rozhodol, či môže dôverovať a spúšťať výpočtovú záťaž na serveri alebo nie. HTTPA však neponúka žiadnu záruku, že server je dôveryhodný. HTTPA má dve časti: komunikáciu a výpočtovú techniku.
Čo sa týka bezpečnosti komunikácie, HTTPA preberá všetky predpoklady HTTPS pre zabezpečenie komunikácie, vrátane použitia TLS a bezpečnej komunikácie, najmä používanie TLS a overenie totožnosti osoby. Pokiaľ ide o výpočtovú bezpečnosť, protokol HTTPA vyžaduje poskytnutie dodatočného stavu zabezpečenia vzdialenej atestácie pre pracovné zaťaženie IT v rámci zabezpečenej enklávy, aby používateľ zákazníka mohol spúšťať pracovné zaťaženia v šifrovanej pamäti.
King a Wang povedali:
„Veríme, že HTTPA môže byť potenciálne prospešné pre určité odvetvia, napríklad FinTech a zdravotníctvo. Na otázku, či by protokol mohol zasahovať do služieb, ktoré majú prísne požiadavky na šírku pásma alebo latenciu, odpovedali: „Na potvrdenie akéhokoľvek vplyvu na výkon by bol potrebný ďalší prieskum; od iných protokolov HTTPS však neočakávame žiadne výrazné zmeny výkonu. Pokiaľ ide o to, či alebo kedy by bolo možné prijať HTTPA, nie je jasné. Na otázku, či sa plánuje predložiť špecifikáciu ako RFC alebo vykonať nejakú inú formu štandardizácie, odpovedali: „Prebiehajú diskusie, ktoré je potrebné preskúmať právnym tímom spoločnosti Intel predtým, ako budeme môcť prijať HTTPA. «
Na záver, ak máte záujem dozvedieť sa viac, môžete si prečítať podrobnosti Na nasledujúcom odkaze.