Inženýři z Intelu navrhli nový protokol HTTPA (HTTPS Attestable), rozšiřující HTTPS o další záruky bezpečnosti prováděných výpočtů. HTTPA vám umožňuje zaručit integritu zpracování uživatelského požadavku na serveru a ujistit se, že webová služba je důvěryhodná a kód běžící v prostředí TEE (Trusted Execution Environment) na serveru nebyl změněn v důsledku hackování nebo sabotáž ze strany správce.
HTTPS chrání přenášená data během přenosu po síti, ale nemůže zabránit narušení jejich integrity v důsledku útoků na server. Izolované enklávy, vytvořené pomocí technologií jako Intel SGX (Software Guard Extension), ARM TrustZone a AMD PSP (Platform Security Processor), umožňují chránit citlivou výpočetní techniku a snižují riziko úniku nebo modifikace citlivých informací na koncovém uzlu.
Pro zaručení spolehlivosti přenášených informací vám HTTPA umožňuje používat atestační nástroje poskytované v Intel SGX, které potvrzují pravost enklávy, ve které byly výpočty provedeny. HTTPA v podstatě rozšiřuje HTTPS o možnost vzdáleného ověřování enklávy a umožňuje vám ověřit, že běží v pravém prostředí Intel SGX a že webové službě lze důvěřovat. Protokol je zpočátku vyvíjen jako univerzální a kromě Intel SGX může být implementován i pro další TEE systémy.
Kromě běžného procesu navazování zabezpečeného připojení pro HTTPS vyžaduje HTTPA navíc vyjednání důvěryhodného klíče relace. Protokol zavádí novou HTTP metodu „ATTEST“, která umožňuje zpracovávat tři typy požadavků a odpovědí:
- "preflight" pro kontrolu, zda vzdálená strana podporuje atestaci enklávy;
- „atest“ pro odsouhlasení parametrů atestace (výběr kryptografického algoritmu, výměna náhodných sekvencí jedinečných pro relaci, vygenerování identifikátoru relace a přenos veřejného klíče enklávy klientovi);
- „důvěryhodná relace“ - generování klíče relace pro výměnu důvěryhodných informací. Klíč relace je vytvořen na základě předem dohodnutého tajného klíče před relací generovaného klientem pomocí veřejného klíče TEE přijatého ze serveru a náhodných sekvencí generovaných každou stranou.
HTTPA znamená, že klient je důvěryhodný a server nikoli, tzn. klient může tento protokol použít k ověření výpočtů v prostředí TEE. HTTPA zároveň nezaručuje, že nebyly kompromitovány další výpočty prováděné za provozu webového serveru, které nejsou prováděny v TEE, což vyžaduje použití samostatného přístupu k vývoji webových služeb. Proto je HTTPA zaměřeno hlavně na použití se specializovanými službami, které mají zvýšené požadavky na integritu informací, jako jsou finanční a lékařské systémy.
Pro situace, kdy musí být výpočty v TEE potvrzeny pro server i klienta, je k dispozici varianta protokolu mHTTPA (Mutual HTTPA), který provádí obousměrné ověření. Tato možnost je složitější kvůli potřebě obousměrného generování klíčů relace pro server a klienta.
Zdroj: opennet.ru