HTTPS är för närvarande huvudprotokollet för webbapplikationer Det ger en snabb och säker anslutning med en viss nivå av konfidentialitet och integritet. HTTPS kan dock inte ge säkerhetsgarantier på applikationsdata i beräkningen, så IT-miljön innebär risker och sårbarheter.
Med tanke på detta tror två Intel-anställda att webbtjänster kan göras säkrare inte bara genom att utföra beräkningar i betrodda fjärrexekveringsmiljöer, eller TEE, utan också genom att verifiera för klienter att det har gjorts.
Gordon King, mjukvaruingenjör och Hans Wang, Intel Labs forskare, de föreslog ett protokoll för att göra detta möjligt. I en artikel med titeln: "Http: HTTPS Attestable Protocol ”, nyligen publicerat på ArXiv, beskriver ett HTTP-protokoll som heter HTTPS Attestable (HTTPA) för att förbättra onlinesäkerheten genom fjärrcertifiering.
Ett sätt för applikationer att få försäkran om att data kommer att behandlas av pålitlig programvara i säkra exekveringsmiljöer. En hårdvarubaserad Trusted Execution Environment (TEE) kan användas, till exempel Intel Software Guard Extension (Intel SGX).
Sedan Intel Software Guard Extension (Intel SGX) tillhandahåller kryptering i minnet för att skydda löpande datorer för att minska risken för läckage eller olaglig modifiering av privat information. SGX:s kärnkoncept gör att beräkningen kan ske inom höljet, en skyddad miljö som krypterar koder och data relaterade till en säkerhetskänslig beräkning.
Dessutom SGX erbjuder säkerhetsgarantier genom fjärrcertifiering för webbklienten, inklusive leverantörens identitet och verifieringsidentitet.
"Här erbjuder vi ett HTTPS Attestable HTTP Protocol (HTTPA), som inkluderar fjärrbekräftelseprocessen på HTTPS-protokollet för att hantera integritets- och säkerhetsproblem", säger Intel.
"Med HTTPA kan vi tillhandahålla säkerhetsgarantier för att fastställa tillförlitligheten hos webbtjänster och säkerställa integriteten i behandlingen av förfrågningar för webbanvändare", säger King och Wang. Vi tror att fjärrbekräftelse kommer att bli en ny trend. säkerhetsrisker med webbtjänster, och vi erbjuder HTTPA-protokollet för att förena webbbekräftelse och tillgång till tjänster på ett standardiserat och effektivt sätt. «
Intel använder fjärrbekräftelse som det grundläggande gränssnittet för användare eller webbtjänster för att etablera förtroende som en säker pålitlig kanal för att leverera hemligheter eller konfidentiell information. För att uppnå detta mål lägger vi till en ny uppsättning HTTP-metoder, inklusive HTTP-förfrågan/svar, HTTP-begäran/svar, HTTP-betrodd sessionsbegäran/svar, för att uppnå fjärrbekräftelse som tillåter användare att och webbtjänsterna upprätta en anslutning direkt till löpkoden.
HTTPA är utformad för att tillhandahålla fjärrcertifiering och konfidentiella datorgarantier mellan en klient och en server när du använder webben över Internet. I fallet med HTTPA antar vi att klienten är pålitlig och att servern inte är det. Kundanvändaren kan kontrollera dessa garantier för att avgöra om de kan lita på och köra datorbelastningen på servern eller inte. HTTPA erbjuder dock ingen garanti för att servern är pålitlig. HTTPA har två delar: kommunikation och datoranvändning.
När det gäller kommunikationssäkerhet, HTTPA tar alla antaganden från HTTPS för kommunikationssäkerhet, inklusive användningen av TLS och säker kommunikation, särskilt användningen av TLS och verifiering av personens identitet. När det gäller beräkningssäkerhet kräver HTTPA-protokollet att tillhandahålla ett ytterligare tillstånd för fjärrbekräftelse för att IT-arbetsbelastningar ska inträffa inom den säkra enklaven, så att kundanvändaren kan köra arbetsbelastningarna i krypterat minne.
King och Wang sa:
"Vi tror att HTTPA potentiellt kan vara fördelaktigt för vissa branscher, till exempel FinTech och hälsovård. På frågan om protokollet kan störa tjänster som har stränga bandbredds- eller latenskrav, svarade de: "Ytterligare utforskning skulle behövas för att bekräfta eventuella prestandapåverkan; vi förväntar oss dock inga betydande prestandaförändringar från andra HTTPS-protokoll. Det är oklart om eller när HTTPA skulle kunna antas. På frågan om det fanns planer på att skicka in specifikationen som en RFC eller att genomföra någon annan form av standardisering, svarade de: "Vi har pågående diskussioner som måste granskas av Intels juridiska team innan vi kan anta HTTPA. «
Slutligen, om du är intresserad av att veta mer om det, kan du konsultera detaljerna I följande länk.