L'ingegneri di Intel anu prupostu un novu protocolu HTTPA (HTTPS Attestable), espansione HTTPS cù garanzii supplementari di a sicurità di i calculi realizati. HTTPA permette di guarantisci l'integrità di processà una dumanda di l'utilizatori nantu à u servitore è assicuratevi chì u serviziu web hè affidabile è chì u codice in esecuzione in l'ambiente TEE (Trusted Execution Environment) in u servitore ùn hè micca cambiatu per via di pirate o pirate. sabotage da l'amministratore.
HTTPS prutege i dati trasmessi durante a trasmissione nantu à a reta, ma ùn pò micca impedisce a so integrità da esse violata per via di attacchi à u servitore. Enclavi isolati, creati aduprendu tecnulugia cum'è Intel SGX (Software Guard Extension), ARM TrustZone è AMD PSP (Platform Security Processor), permettenu di prutezzione di l'informatica sensibile è riduce u risicu di perdita o mudificazione di informazioni sensibili nantu à u node finale.
Per guarantiscia l'affidabilità di l'infurmazioni trasmessi, HTTPA permette di utilizà l'attrezzi d'attestazione furniti in Intel SGX, chì cunfirmanu l'autenticità di l'enclave in quale i calculi sò stati realizati. Essenzialmente, HTTPA estende HTTPS cù a capacità di attestà remotamente un enclave è vi permettenu di verificà chì hè in esecuzione in un veru ambiente Intel SGX è chì u serviziu web pò esse fiduciale. U protocolu hè inizialmente sviluppatu cum'è un universale è, in più di Intel SGX, pò esse implementatu per altri sistemi TEE.
In più di u prucessu normale di stabilisce una cunnessione sicura per HTTPS, HTTPA richiede ancu a negoziazione di una chjave di sessione di fiducia. U protocolu introduce un novu metudu HTTP "ATTEST", chì permette di processà trè tippi di dumande è risposte:
- "preflight" per verificà se u latu remoto supporta l'attestazione di l'enclave;
- "attestazione" per accunsentà i paràmetri di attestazione (selezzione di un algoritmu criptograficu, scambià sequenze aleatorii uniche à a sessione, generà un identificatore di sessione è trasferendu a chjave publica di l'enclave à u cliente);
- "sessione di fiducia" - generazione di una chjave di sessione per u scambiu di informazioni di fiducia. A chjave di sessione hè furmata basatu annantu à un sicretu di pre-sessione accunsentutu previamente generatu da u cliente utilizendu a chjave publica TEE ricevuta da u servitore, è sequenze aleatorii generate da ogni parte.
HTTPA implica chì u cliente hè fiduciale è u servitore ùn hè micca, i.e. u cliente pò aduprà stu protokollu per verificà i calculi in un ambiente TEE. À u listessu tempu, HTTPA ùn guarantisci micca chì l'altri calculi realizati durante l'operazione di u servitore web chì ùn sò micca realizati in TEE ùn sò micca stati cumprumessi, chì esige l'usu di un approcciu separatu à u sviluppu di i servizii web. Cusì, HTTPA hè principalmente destinatu à l'usu cù servizii specializati chì anu aumentatu i requisiti per l'integrità di l'infurmazioni, cum'è i sistemi finanziarii è medichi.
Per situazioni induve i calculi in TEE devenu esse cunfirmati per u servitore è u cliente, una variante di u protocolu mHTTPA (Mutual HTTPA) hè furnita, chì esegue una verificazione bidirezionale. Questa opzione hè più cumplicata per a necessità di generazione bidirezionale di chjave di sessione per u servitore è u cliente.
Source: opennet.ru