Ang HTTPS ay kasalukuyang pangunahing protocol para sa mga web application Nagbibigay ito ng mabilis at secure na koneksyon na may tiyak na antas ng pagiging kumpidensyal at integridad. Gayunpaman, hindi makakapagbigay ang HTTPS ng mga garantiya sa seguridad sa data ng application sa pagkalkula, kaya ang kapaligiran ng IT ay nagpapakita ng mga panganib at kahinaan.
Dahil dito, naniniwala ang dalawang empleyado ng Intel na ang mga serbisyo sa web ay maaaring gawing mas secure hindi lamang sa pamamagitan ng pagsasagawa ng mga kalkulasyon sa mga pinagkakatiwalaang remote execution environment, o TEE, kundi pati na rin sa pamamagitan ng pag-verify para sa mga kliyente na nagawa na ito.
Gordon King, software engineer at Hans Wang, Intel Labs researcher, iminungkahi nila ang isang protocol upang gawin itong posible. Sa isang artikulong pinamagatang: “Http: Ang HTTPS Attestable Protocol ”, na inilathala kamakailan sa ArXiv, ay naglalarawan ng HTTP protocol na tinatawag na HTTPS Attestable (HTTPA) upang pahusayin ang online na seguridad sa pamamagitan ng malayuang sertipikasyon.
Isang paraan para makakuha ng katiyakan ang mga application na ang data ay ipoproseso ng pinagkakatiwalaang software sa mga secure na kapaligiran ng pagpapatupad. Maaaring gumamit ng hardware-based Trusted Execution Environment (TEE), gaya ng Intel Software Guard Extension (Intel SGX).
Mula noong Intel Software Guard Extension (Intel SGX) ay nagbibigay ng in-memory encryption upang makatulong na protektahan ang mga tumatakbong computer upang mabawasan ang panganib ng pagtagas o iligal na pagbabago ng pribadong impormasyon. Ang pangunahing konsepto ng SGX ay nagbibigay-daan sa pagkalkula na maganap sa loob ng enclosure, isang protektadong kapaligiran na nag-e-encrypt ng mga code at data na nauugnay sa isang pagkalkula na sensitibo sa seguridad.
Higit pa rito, ang SGX nag-aalok ng mga garantiya sa seguridad sa pamamagitan ng malayuang sertipikasyon para sa web client, kabilang ang pagkakakilanlan ng provider at pagkakakilanlan sa pag-verify.
"Dito nag-aalok kami ng HTTPS attestable HTTP protocol (HTTPA), na kinabibilangan ng remote na proseso ng pagpapatotoo sa HTTPS protocol upang matugunan ang mga alalahanin sa privacy at seguridad," sabi ng Intel.
"Sa HTTPA, makakapagbigay kami ng mga garantiyang pangseguridad upang maitaguyod ang pagiging maaasahan ng mga serbisyo sa web at matiyak ang integridad ng pagpoproseso ng mga kahilingan para sa mga web user," sabi ni King at Wang. Naniniwala kami na ang malayuang pagpapatotoo ay magiging isang bagong trend. pinagtibay upang mabawasan ang mga panganib sa seguridad ng mga serbisyo sa web, at nag-aalok kami ng HTTPA protocol upang pag-isahin ang web attestation at pag-access sa mga serbisyo sa isang karaniwan at mahusay na paraan. «
Gumagamit ang Intel ng malayuang pagpapatunay bilang pangunahing interface para sa mga user o serbisyo sa web upang maitaguyod ang tiwala bilang isang secure na pinagkakatiwalaang channel upang maghatid ng mga lihim o kumpidensyal na impormasyon. Upang makamit ang layuning ito, nagdaragdag kami ng bagong hanay ng mga pamamaraan ng HTTP, kabilang ang kahilingan/tugon ng HTTP preflight, kahilingan/tugon sa pagpapatunay ng HTTP, kahilingan/tugon sa pinagkakatiwalaang sesyon ng HTTP, upang makamit ang malayuang pagpapatunay na nagbibigay-daan sa mga user na magtatag ng koneksyon direkta sa tumatakbong code.
Ang HTTPA ay idinisenyo upang magbigay ng malayuang sertipikasyon at kumpidensyal na mga garantiya ng computer sa pagitan ng isang kliyente at isang server kapag gumagamit ng web sa Internet. Sa kaso ng HTTPA, ipinapalagay namin na ang kliyente ay mapagkakatiwalaan at ang server ay hindi. Maaaring suriin ng user ng customer ang mga garantiyang ito upang magpasya kung mapagkakatiwalaan at patakbuhin nila ang mga workload ng computing sa server o hindi. Gayunpaman, hindi nag-aalok ang HTTPA ng anumang garantiya na mapagkakatiwalaan ang server. Ang HTTPA ay may dalawang bahagi: komunikasyon at computing.
Tungkol sa seguridad ng komunikasyon, Kinukuha ng HTTPA ang lahat ng pagpapalagay ng HTTPS para sa seguridad ng komunikasyon, kabilang ang paggamit ng TLS at secure na komunikasyon, partikular na ang paggamit ng TLS at pag-verify ng pagkakakilanlan ng tao. Sa pagsasaalang-alang sa computational security, ang HTTPA protocol ay nangangailangan ng pagbibigay ng karagdagang estado ng kasiguruhan ng malayuang pagpapatunay para sa mga IT workload na mangyari sa loob ng secure na enclave upang ang user ng customer ay makapagpatakbo ng mga workload sa naka-encrypt na memorya.
Sinabi ni King at Wang:
“Naniniwala kami na ang HTTPA ay maaaring maging kapaki-pakinabang para sa ilang partikular na industriya, halimbawa FinTech at pangangalagang pangkalusugan. Nang tanungin kung ang protocol ay maaaring makagambala sa mga serbisyong may mahigpit na bandwidth o latency na mga kinakailangan, tumugon sila: “Kailangan ng karagdagang paggalugad upang kumpirmahin ang anumang epekto sa pagganap; gayunpaman, hindi namin inaasahan ang anumang makabuluhang pagbabago sa pagganap mula sa iba pang mga protocol ng HTTPS. Sa kung o kailan maaaring gamitin ang HTTPA, hindi malinaw. Nang tanungin kung may mga planong isumite ang detalye bilang isang RFC o magsagawa ng iba pang anyo ng standardisasyon, tumugon sila: “Mayroon kaming patuloy na mga talakayan na kailangang suriin ng legal na koponan ng Intel bago namin magamit ang HTTPA. «
Panghuli, kung interesado kang malaman ang tungkol dito, maaari kang kumunsulta sa mga detalye Sa sumusunod na link.