HTTPS на даний момент є основним протоколом для веб-додатків Він забезпечує швидке та безпечне з’єднання з певним рівнем конфіденційності та цілісності. Проте HTTPS не може надати гарантії безпеки на прикладні дані в розрахунку, т.е ІТ-середовище створює ризики та вразливості.
З огляду на це, двоє співробітників Intel вважають, що веб-сервіси можна зробити більш безпечними, не тільки виконуючи обчислення в надійних середовищах віддаленого виконання, або TEE, але й перевіряючи для клієнтів, що це було зроблено.
Гордон Кінг, інженер-програміст і Ганс Ван, дослідник Intel Labs, вони запропонували протокол, щоб зробити це можливим. У статті під назвою: «Http: HTTPS Attestable Protocol», нещодавно опублікований на ArXiv, описує протокол HTTP під назвою HTTPS Attestable (HTTPA) для покращення безпеки в Інтернеті за допомогою віддаленої сертифікації.
Спосіб для програм отримати впевненість, що дані будуть оброблятися надійним програмним забезпеченням у безпечному середовищі виконання. Можна використовувати апаратне середовище Trusted Execution Environment (TEE), наприклад Intel Software Guard Extension (Intel SGX).
З Intel Software Guard Extension (Intel SGX) забезпечує шифрування в пам'яті щоб допомогти захистити запущені комп’ютери, щоб зменшити ризик витоку або незаконної зміни приватної інформації. Основна концепція SGX дозволяє обчислення здійснюватися в корпусі, захищеному середовищі, яке шифрує коди та дані, пов’язані з розрахунками, що чутливі до безпеки.
Крім того, SGX пропонує гарантії безпеки через дистанційну сертифікацію для веб-клієнта, включаючи особу постачальника та ідентифікатор для перевірки.
«Тут ми пропонуємо протокол HTTPS Attestable HTTP Protocol (HTTPA), який включає процес віддаленої атестації протоколу HTTPS для вирішення проблем із конфіденційністю та безпекою», — каже Intel.
«За допомогою HTTPA ми можемо надати гарантії безпеки для встановлення надійності веб-сервісів та забезпечення цілісності обробки запитів для користувачів веб-сайтів», — кажуть Кінг і Ван. Ми віримо, що дистанційна атестація стане новою тенденцією. ризики безпеки веб-сервісів, і ми пропонуємо протокол HTTPA для уніфікації веб-атестації та доступу до послуг стандартним та ефективним способом. «
Intel використовує віддалену атестацію як основний інтерфейс для користувачів або веб-служб, щоб встановити довіру як безпечний надійний канал для доставки секретів або конфіденційної інформації. Щоб досягти цієї мети, ми додаємо новий набір методів HTTP, включно з запитом/відповіддю на попередню реєстрацію HTTP, запитом/відповіддю на атестацію HTTP, запитом/відповіддю довіреного сеансу HTTP, щоб отримати віддалену атестацію, яка дозволяє користувачам і веб-сервісам встановлювати з’єднання. безпосередньо до запущеного коду.
HTTPA призначений для надання дистанційної сертифікації і конфіденційні комп'ютерні гарантії між клієнтом і сервером при використанні Інтернету через Інтернет. У випадку HTTPA ми припускаємо, що клієнт заслуговує довіри, а сервер ні. Користувач-клієнт може перевірити ці гарантії, щоб вирішити, чи можна довіряти й виконувати обчислювальні навантаження на сервері чи ні. Проте HTTPA не дає жодних гарантій того, що сервер заслуговує довіри. HTTPA складається з двох частин: комунікації та обчислення.
Щодо безпеки зв'язку, HTTPA використовує всі припущення HTTPS для безпеки зв'язку, включаючи використання TLS і безпечного зв'язку, зокрема використання TLS та перевірка особистості особи. Що стосується обчислювальної безпеки, протокол HTTPA вимагає надання додаткового стану гарантії віддаленої атестації для ІТ-навантажень, які відбуваються в захищеному анклаві, щоб користувач-замовник міг виконувати робочі навантаження в зашифрованій пам’яті.
Кінг і Ван сказали:
«Ми вважаємо, що HTTPA потенційно може бути корисним для певних галузей, наприклад, для фінансових технологій та охорони здоров’я. На запитання, чи може протокол заважати службам, які мають жорсткі вимоги до пропускної здатності або затримки, вони відповіли: «Потрібне подальше дослідження, щоб підтвердити будь-який вплив на продуктивність; однак ми не очікуємо істотних змін продуктивності від інших протоколів HTTPS. Щодо того, чи можна буде прийняти HTTPA або коли, неясно. Коли їх запитали, чи планується подати специфікацію як RFC або провести якусь іншу форму стандартизації, вони відповіли: «У нас тривають обговорення, які має бути розглянута юридична команда Intel, перш ніж ми зможемо прийняти HTTPA. «
Нарешті, якщо вам цікаво дізнатись більше про це, ви можете проконсультуватися з деталями У наступному посиланні.