HTTPS je trenutno glavni protokol za spletne aplikacije Zagotavlja hitro in varno povezavo z določeno stopnjo zaupnosti in integritete. Vendar HTTPS ne more zagotoviti varnostnih jamstev na podatke aplikacije v izračunu, tako IT okolje predstavlja tveganja in ranljivosti.
Glede na to dva zaposlena pri Intelu verjameta, da je mogoče spletne storitve narediti bolj varne ne le z izvajanjem izračunov v zaupanja vrednih okoljih za oddaljeno izvajanje ali TEE, ampak tudi s preverjanjem za stranke, ali so bile opravljene.
Gordon King, programski inženir in Hans Wang, raziskovalec Intel Labs, predlagali so protokol, ki bi to omogočil. V članku z naslovom: »http: HTTPS Attestable Protocol «, nedavno objavljen na ArXiv, opisuje protokol HTTP, imenovan HTTPS Attestable (HTTPA), za izboljšanje spletne varnosti z daljinskim certificiranjem.
Način, da aplikacije pridobijo zagotovilo, da bo podatke obdelala zaupanja vredna programska oprema v varnih okoljih izvajanja. Uporabite lahko strojno zasnovano Trusted Execution Environment (TEE), kot je Intel Software Guard Extension (Intel SGX).
Od razširitve Intel Software Guard Extension (Intel SGX) zagotavlja šifriranje v pomnilniku za pomoč pri zaščiti delujočih računalnikov za zmanjšanje tveganja uhajanja ali nezakonitega spreminjanja zasebnih podatkov. Osnovni koncept SGX omogoča, da se izračun izvede znotraj ohišja, zaščitenega okolja, ki šifrira kode in podatke, povezane z varnostno občutljivim izračunom.
Poleg tega SGX nudi varnostna jamstva z daljinskim certificiranjem za spletnega odjemalca, vključno z identiteto ponudnika in identiteto za preverjanje.
"Tu ponujamo HTTPS Attestable HTTP Protocol (HTTPA), ki vključuje postopek oddaljenega potrjevanja protokola HTTPS za reševanje pomislekov glede zasebnosti in varnosti," pravi Intel.
"Z HTTPA, lahko nudimo varnostna zagotovila za ugotavljanje zanesljivosti spletnih storitev in zagotavljanje celovitosti obdelave zahtevkov za spletne uporabnike," pravijo King in Wang. Prepričani smo, da na daljavo potrdilo bo postal nov trend. Sprejeti za zmanjšanje varnostna tveganja spletnih storitev, nudimo pa protokol HTTPA za poenotenje spletnega atestiranja in dostopa do storitev na standarden in učinkovit način. «
Intel uporablja certificiranje na daljavo kot osnovni vmesnik za uporabnike ali spletne storitve za vzpostavitev zaupanja kot varnega zaupanja vrednega kanala za dostavo skrivnosti ali zaupnih informacij. Da bi dosegli ta cilj, dodajamo nov nabor metod HTTP, vključno z zahtevo/odzivom pred izvedbo HTTP, zahtevo/odzivom za potrdilo HTTP, zahtevo/odzivom zaupanja vredne seje HTTP, da dosežemo oddaljeno potrdilo, ki uporabnikom omogoča, da spletne storitve vzpostavijo povezavo neposredno na tekočo kodo.
HTTPA je zasnovan za zagotavljanje certificiranja na daljavo in zaupna računalniška jamstva med odjemalcem in strežnikom pri uporabi spleta prek interneta. V primeru HTTPA predvidevamo, da je odjemalec vreden zaupanja, strežnik pa ne. Stranka lahko preveri ta jamstva in se odloči, ali lahko zaupa in izvaja računalniške obremenitve na strežniku ali ne. Vendar HTTPA ne zagotavlja nobenega zagotovila, da je strežnik vreden zaupanja. HTTPA ima dva dela: komunikacijo in računalništvo.
Glede varnosti komunikacije, HTTPA prevzame vse predpostavke HTTPS za varnost komunikacije, vključno z uporabo TLS in varne komunikacije, zlasti uporaba TLS in preverjanje identitete osebe. V zvezi z računalniško varnostjo protokol HTTPA zahteva zagotavljanje dodatnega stanja zagotovila oddaljenega potrjevanja, da se delovne obremenitve IT pojavljajo znotraj varne enklave, tako da lahko uporabnik stranke izvaja delovne obremenitve v šifriranem pomnilniku.
King in Wang sta rekla:
"Verjamemo, da bi HTTPA lahko bil koristen za nekatere panoge, na primer FinTech in zdravstveno varstvo. Na vprašanje, ali bi protokol lahko motil storitve, ki imajo stroge zahteve glede pasovne širine ali zakasnitve, so odgovorili: »Potrebno bi bilo nadaljnje raziskovanje, da se potrdi kakršen koli vpliv na zmogljivost; vendar ne pričakujemo večjih sprememb v delovanju drugih protokolov HTTPS. Ni jasno, ali bi lahko HTTPA sprejeli ali kdaj. Na vprašanje, ali načrtujejo predložitev specifikacije kot RFC ali izvedbo kakšne druge oblike standardizacije, so odgovorili: »V teku imamo razprave, ki jih mora pregledati Intelova pravna ekipa, preden lahko sprejmemo HTTPA. «
Nazadnje, če vas zanima več o tem, se lahko obrnete na podrobnosti V naslednji povezavi.