Intel mühəndisləri yerinə yetirilən hesablamaların təhlükəsizliyinə əlavə zəmanətlər ilə HTTPS-i genişləndirən yeni HTTPA protokolu (HTTPS Attestable) təklif ediblər. HTTPA serverdə istifadəçi sorğusunun işlənməsinin bütövlüyünə zəmanət verməyə və veb xidmətin etibarlı olmasına və serverdə TEE mühitində (Trusted Execution Environment) işləyən kodun sındırma və ya sındırma nəticəsində dəyişdirilmədiyinə əmin olmağa imkan verir. administrator tərəfindən təxribat.
HTTPS şəbəkə üzərindən ötürülmə zamanı ötürülən məlumatları qoruyur, lakin serverə edilən hücumlar nəticəsində onun bütövlüyünün pozulmasının qarşısını ala bilmir. Intel SGX (Software Guard Extension), ARM TrustZone və AMD PSP (Platforma Təhlükəsizlik Prosessoru) kimi texnologiyalardan istifadə etməklə yaradılmış təcrid olunmuş anklavlar həssas hesablamaları qorumağa və son qovşaqda həssas məlumatların sızması və ya dəyişdirilməsi riskini azaltmağa imkan verir.
Ötürülmüş məlumatın etibarlılığına zəmanət vermək üçün HTTPA, hesablamaların aparıldığı anklavın həqiqiliyini təsdiqləyən Intel SGX-də təqdim olunan attestasiya vasitələrindən istifadə etməyə imkan verir. Əslində, HTTPA anklavı uzaqdan təsdiqləmək və onun orijinal Intel SGX mühitində işlədiyini və veb xidmətinə etibar edilə biləcəyini yoxlamağa imkan vermək imkanı ilə HTTPS-i genişləndirir. Protokol əvvəlcə universal kimi hazırlanır və Intel SGX-dən əlavə, digər TEE sistemləri üçün də tətbiq oluna bilər.
HTTPS üçün təhlükəsiz əlaqənin qurulmasının normal prosesinə əlavə olaraq, HTTPA əlavə olaraq etibarlı seans açarının danışıqlarını tələb edir. Protokol üç növ sorğu və cavabı emal etməyə imkan verən yeni “ATTEST” HTTP metodunu təqdim edir:
- uzaq tərəfin anklav attestasiyasını dəstəklədiyini yoxlamaq üçün "preflight";
- attestasiya parametrlərinin razılaşdırılması üçün “attestasiya” (kriptoqrafik alqoritmin seçilməsi, sessiyaya xas təsadüfi ardıcıllıqların mübadiləsi, sessiya identifikatorunun yaradılması və anklavın açıq açarının müştəriyə ötürülməsi);
- “etibarlı sessiya” - etibarlı məlumat mübadiləsi üçün sessiya açarının yaradılması. Sessiya açarı serverdən alınan TEE açıq açarından istifadə edərək müştəri tərəfindən yaradılan əvvəlcədən razılaşdırılmış sessiya öncəsi sirr və hər bir tərəf tərəfindən yaradılan təsadüfi ardıcıllıq əsasında formalaşır.
HTTPA, müştərinin etibarlı olduğunu və serverin etibarlı olmadığını, yəni. müştəri TEE mühitində hesablamaları yoxlamaq üçün bu protokoldan istifadə edə bilər. Eyni zamanda, HTTPA veb-serverin işləməsi zamanı TEE-də yerinə yetirilməyən digər hesablamaların pozulmadığına zəmanət vermir ki, bu da veb xidmətlərinin inkişafı üçün ayrıca yanaşmanın istifadəsini tələb edir. Beləliklə, HTTPA əsasən maliyyə və tibbi sistemlər kimi informasiya bütövlüyünə tələbləri artıran ixtisaslaşmış xidmətlərlə istifadəyə yönəlib.
TEE-də hesablamaların həm server, həm də müştəri üçün təsdiq edilməli olduğu vəziyyətlər üçün ikitərəfli yoxlamanı həyata keçirən mHTTPA (Qarşılıqlı HTTPA) protokolunun variantı təmin edilir. Bu seçim server və müştəri üçün ikitərəfli seans açarlarının yaradılması ehtiyacına görə daha mürəkkəbdir.
Mənbə: opennet.ru