HTTPS hiện là giao thức chính cho các ứng dụng web Nó cung cấp một kết nối nhanh chóng và an toàn với một mức độ bảo mật và toàn vẹn nhất định. Tuy nhiên, HTTPS không thể đảm bảo an ninh trên dữ liệu ứng dụng trong tính toán, vì vậy môi trường CNTT có rủi ro và lỗ hổng bảo mật.
Với điều này, hai nhân viên của Intel tin rằng các dịch vụ web có thể được đảm bảo an toàn hơn không chỉ bằng cách thực hiện các phép tính trong môi trường thực thi từ xa đáng tin cậy hoặc TEE, mà còn bằng cách xác minh cho khách hàng rằng nó đã được thực hiện.
Vua Gordon, kỹ sư phần mềm và Hán Vương, Nhà nghiên cứu của Phòng thí nghiệm Intel, họ đã đề xuất một giao thức để biến điều này thành khả thi. Trong một bài báo có tiêu đề: “http: HTTPS Attestable Protocol ”, được xuất bản gần đây trên ArXiv, mô tả một giao thức HTTP được gọi là HTTPS Attestable (HTTPA) để cải thiện bảo mật trực tuyến thông qua chứng nhận từ xa.
Một cách để các ứng dụng đạt được sự đảm bảo rằng dữ liệu sẽ được xử lý bởi phần mềm đáng tin cậy trong môi trường thực thi an toàn. Có thể sử dụng Môi trường Thực thi Tin cậy (TEE) dựa trên phần cứng, chẳng hạn như Mở rộng Bảo vệ Phần mềm Intel (Intel SGX).
Kể từ khi mở rộng bảo vệ phần mềm Intel (Intel SGX) cung cấp mã hóa trong bộ nhớ để giúp bảo vệ các máy tính đang chạy để giảm nguy cơ rò rỉ hoặc sửa đổi bất hợp pháp thông tin cá nhân. Khái niệm cốt lõi của SGX cho phép tính toán diễn ra bên trong vỏ bọc, một môi trường được bảo vệ để mã hóa các mã và dữ liệu liên quan đến một phép tính nhạy cảm với bảo mật.
Hơn nữa, SGX cung cấp đảm bảo an ninh thông qua chứng nhận từ xa cho ứng dụng khách web, bao gồm danh tính và danh tính xác minh của nhà cung cấp.
Intel cho biết: “Tại đây chúng tôi cung cấp Giao thức HTTP có thể chứng thực HTTPS (HTTPA), bao gồm quy trình chứng thực từ xa trên giao thức HTTPS để giải quyết các mối lo ngại về quyền riêng tư và bảo mật.
King và Wang nói: “Với HTTPA, chúng tôi có thể cung cấp đảm bảo bảo mật để thiết lập độ tin cậy của các dịch vụ web và đảm bảo tính toàn vẹn của quá trình xử lý yêu cầu cho người dùng web. Chúng tôi tin rằng chứng thực từ xa sẽ trở thành một xu hướng mới được áp dụng để giảm rủi ro bảo mật của các dịch vụ web và chúng tôi cung cấp giao thức HTTPA để thống nhất chứng thực web và truy cập vào các dịch vụ theo cách tiêu chuẩn và hiệu quả. «
Intel sử dụng chứng thực từ xa làm giao diện cơ bản cho người dùng hoặc dịch vụ web để thiết lập lòng tin như một kênh tin cậy an toàn để cung cấp bí mật hoặc thông tin bí mật. Để đạt được mục tiêu này, chúng tôi đang thêm một tập hợp các phương thức HTTP mới, bao gồm yêu cầu / phản hồi trước HTTP, yêu cầu / phản hồi chứng thực HTTP, yêu cầu / phản hồi phiên đáng tin cậy HTTP, để đạt được chứng thực từ xa cho phép người dùng và các dịch vụ web thiết lập kết nối trực tiếp đến mã đang chạy.
HTTPA được thiết kế để cung cấp chứng nhận từ xa và đảm bảo máy tính bí mật giữa máy khách và máy chủ khi sử dụng web thông qua Internet. Trong trường hợp HTTPA, chúng tôi giả định rằng máy khách đáng tin cậy còn máy chủ thì không. Người dùng khách hàng có thể kiểm tra các đảm bảo này để quyết định xem họ có thể tin tưởng và chạy khối lượng công việc tính toán trên máy chủ hay không. Tuy nhiên, HTTPA không đưa ra bất kỳ đảm bảo nào rằng máy chủ là đáng tin cậy. HTTPA có hai phần: giao tiếp và tính toán.
Về bảo mật thông tin liên lạc, HTTPA nhận tất cả các giả định của HTTPS để bảo mật thông tin liên lạc, bao gồm cả việc sử dụng TLS và giao tiếp an toàn, đặc biệt là việc sử dụng TLS và xác minh danh tính của một người. Liên quan đến bảo mật tính toán, giao thức HTTPA yêu cầu cung cấp trạng thái bảo đảm bổ sung chứng thực từ xa cho khối lượng công việc CNTT xảy ra trong vùng mã hóa an toàn, để người dùng khách hàng có thể chạy khối lượng công việc trong bộ nhớ được mã hóa.
King và Wang nói:
“Chúng tôi tin rằng HTTPA có thể có lợi cho một số ngành nhất định, chẳng hạn như FinTech và chăm sóc sức khỏe. Khi được hỏi liệu giao thức có thể can thiệp vào các dịch vụ có yêu cầu nghiêm ngặt về băng thông hoặc độ trễ hay không, họ trả lời: “Cần phải thăm dò thêm để xác nhận bất kỳ tác động nào về hiệu suất; tuy nhiên, chúng tôi không mong đợi bất kỳ thay đổi hiệu suất đáng kể nào từ các giao thức HTTPS khác. Về việc liệu HTTPA có thể được áp dụng hay không, vẫn chưa rõ ràng. Khi được hỏi liệu có kế hoạch gửi thông số kỹ thuật như một RFC hay thực hiện một số hình thức tiêu chuẩn hóa khác hay không, họ trả lời: “Chúng tôi đang có các cuộc thảo luận cần được nhóm pháp lý của Intel xem xét trước khi chúng tôi có thể áp dụng HTTPA. «
Cuối cùng, nếu bạn quan tâm muốn biết thêm về nó, bạn có thể tham khảo chi tiết Trong liên kết sau đây.