HTTPS është aktualisht protokolli kryesor për aplikacionet në ueb Ai siguron një lidhje të shpejtë dhe të sigurt me një nivel të caktuar konfidencialiteti dhe integriteti. Megjithatë, HTTPS nuk mund të ofrojë garanci sigurie mbi të dhënat e aplikimit në llogaritje, pra mjedisi i TI-së paraqet rreziqe dhe dobësi.
Nisur nga kjo, dy punonjës të Intel besojnë se shërbimet e uebit mund të bëhen më të sigurta jo vetëm duke kryer llogaritjet në mjedise të besueshme ekzekutimi në distancë, ose TEE, por edhe duke verifikuar për klientët që kjo është bërë.
Gordon King, inxhinier softuerësh dhe Hans Wang, Studiues i Intel Labs, ata propozuan një protokoll për ta bërë të mundur këtë. Në një artikull të titulluar: "Http: Protokolli i vërtetueshëm HTTPS ", i publikuar së fundmi në ArXiv, përshkruan një protokoll HTTP të quajtur HTTPS Attestable (HTTPA) për të përmirësuar sigurinë në internet përmes certifikimit në distancë.
Një mënyrë që aplikacionet të fitojnë siguri se të dhënat do të përpunohen nga softuer i besuar në mjedise të sigurta ekzekutimi. Mund të përdoret një Mjedis i Ekzekutimit i Besuar (TEE) i bazuar në harduer, siç është Zgjerimi Intel Software Guard (Intel SGX).
Që nga zgjerimi i Intel Software Guard (Intel SGX) ofron kriptim në memorie për të ndihmuar në mbrojtjen e kompjuterëve që funksionojnë për të zvogëluar rrezikun e rrjedhjes ose modifikimit të paligjshëm të informacionit privat. Koncepti kryesor i SGX lejon që llogaritja të bëhet brenda mbylljes, një mjedis i mbrojtur që kodon kodet dhe të dhënat që lidhen me një llogaritje të ndjeshme ndaj sigurisë.
Për më tepër, SGX ofron garanci sigurie nëpërmjet certifikimit në distancë për klientin në internet, duke përfshirë identitetin e ofruesit dhe identitetin e verifikimit.
"Këtu ne ofrojmë një protokoll HTTP të vërtetueshëm HTTPS (HTTPA), i cili përfshin procesin e vërtetimit në distancë në protokollin HTTPS për të adresuar shqetësimet e privatësisë dhe sigurisë," thotë Intel.
"Me HTTPA, ne mund të ofrojmë garanci sigurie për të vendosur besueshmërinë e shërbimeve të internetit dhe për të siguruar integritetin e përpunimit të kërkesave për përdoruesit e uebit," thonë King dhe Wang. Ne besojmë se vërtetimi në distancë do të bëhet një trend i ri. i miratuar për të reduktuar rreziqet e sigurisë së shërbimeve të uebit dhe ne ofrojmë protokollin HTTPA për të unifikuar vërtetimin në ueb dhe aksesin në shërbime në një mënyrë standarde dhe efikase. "
Intel përdor vërtetimin në distancë si ndërfaqen bazë për përdoruesit ose shërbimet e internetit për të krijuar besimin si një kanal i sigurt i besuar për të ofruar sekrete ose informacione konfidenciale. Për të arritur këtë qëllim, ne po shtojmë një grup të ri metodash HTTP, duke përfshirë kërkesën / përgjigjen e HTTP para nisjes së avionit, kërkesën / përgjigjen e vërtetimit HTTP, kërkesën / përgjigjen e besuar të seancës HTTP, për të arritur një vërtetim në distancë që lejon përdoruesit dhe shërbimet e internetit të krijojnë një lidhje drejtpërdrejt te kodi i ekzekutimit.
HTTPA është krijuar për të ofruar certifikim në distancë dhe garancitë konfidenciale kompjuterike ndërmjet një klienti dhe një serveri kur përdorni ueb-in përmes internetit. Në rastin e HTTPA, ne supozojmë se klienti është i besueshëm dhe serveri jo. Përdoruesi i klientit mund t'i kontrollojë këto garanci për të vendosur nëse mund t'i besojë dhe të ekzekutojë ngarkesat e punës kompjuterike në server apo jo. Sidoqoftë, HTTPA nuk ofron asnjë garanci që serveri është i besueshëm. HTTPA ka dy pjesë: komunikim dhe informatikë.
Përsa i përket sigurisë së komunikimit, HTTPA merr të gjitha supozimet e HTTPS për sigurinë e komunikimit, duke përfshirë përdorimin e TLS dhe komunikimin e sigurt, në veçanti përdorimi i TLS dhe verifikimi i identitetit të personit. Për sa i përket sigurisë llogaritëse, protokolli HTTPA kërkon të sigurojë një gjendje sigurie shtesë të vërtetimit në distancë që ngarkesat e punës TI të ndodhin brenda enklavës së sigurt, në mënyrë që përdoruesi i klientit të mund të ekzekutojë ngarkesat e punës në memorien e koduar.
King dhe Wang thanë:
“Ne besojmë se HTTPA mund të jetë potencialisht e dobishme për industri të caktuara, për shembull FinTech dhe kujdesin shëndetësor. Kur u pyetën nëse protokolli mund të ndërhynte me shërbimet që kanë kërkesa të rrepta për bandwidth ose vonesë, ata u përgjigjën: “Do të nevojitet një eksplorim i mëtejshëm për të konfirmuar çdo ndikim në performancë; megjithatë, ne nuk presim ndonjë ndryshim të rëndësishëm të performancës nga protokollet e tjera HTTPS. Është e paqartë nëse ose kur mund të miratohet HTTPA. Kur u pyetën nëse kishte plane për të paraqitur specifikimet si një RFC ose për të ndërmarrë ndonjë formë tjetër standardizimi, ata u përgjigjën: “Ne kemi diskutime të vazhdueshme që duhet të shqyrtohen nga ekipi ligjor i Intel përpara se të mund të miratojmë HTTPA. "
Së fundmi, nëse jeni të interesuar të dini më shumë rreth kësaj, mund të konsultoheni me detajet Në lidhjen vijuese.