Ingeniører fra Intel har foreslået en ny HTTPA-protokol (HTTPS Attestable), der udvider HTTPS med yderligere garantier for sikkerheden af de udførte beregninger. HTTPA giver dig mulighed for at garantere integriteten af behandlingen af en brugeranmodning på serveren og sikre dig, at webservicen er troværdig, og at koden, der kører i TEE-miljøet (Trusted Execution Environment) på serveren, ikke er blevet ændret som følge af hacking eller sabotage fra administratorens side.
HTTPS beskytter overførte data under transmission over netværket, men kan ikke forhindre, at dets integritet bliver krænket som følge af angreb på serveren. Isolerede enklaver, skabt ved hjælp af teknologier som Intel SGX (Software Guard Extension), ARM TrustZone og AMD PSP (Platform Security Processor), gør det muligt at beskytte følsom databehandling og reducere risikoen for lækage eller ændring af følsomme oplysninger på slutnoden.
For at garantere pålideligheden af den transmitterede information giver HTTPA dig mulighed for at bruge attestationsværktøjerne i Intel SGX, som bekræfter ægtheden af den enklave, hvori beregningerne blev udført. Grundlæggende udvider HTTPA HTTPS med muligheden for at fjernattestere en enklave og give dig mulighed for at verificere, at den kører i et ægte Intel SGX-miljø, og at webtjenesten kan stole på. Protokollen udvikles i første omgang som en universel og kan udover Intel SGX implementeres til andre TEE-systemer.
Ud over den normale proces med at etablere en sikker forbindelse til HTTPS, kræver HTTPA desuden forhandling af en pålidelig sessionsnøgle. Protokollen introducerer en ny HTTP-metode "ATTEST", som giver dig mulighed for at behandle tre typer anmodninger og svar:
- "preflight" for at kontrollere, om fjernsiden understøtter enklave-attestering;
- "attest" for at blive enige om attestationsparametre (valg af en kryptografisk algoritme, udveksling af tilfældige sekvenser, der er unikke for sessionen, generering af en sessionsidentifikator og overførsel af enklavens offentlige nøgle til klienten);
- "trusted session" - generering af en sessionsnøgle til pålidelig informationsudveksling. Sessionsnøglen er dannet baseret på en tidligere aftalt præ-session-hemmelighed genereret af klienten ved hjælp af den offentlige TEE-nøgle modtaget fra serveren og tilfældige sekvenser genereret af hver part.
HTTPA indebærer, at klienten er troværdig, og serveren er det ikke, dvs. klienten kan bruge denne protokol til at verificere beregninger i et TEE-miljø. Samtidig garanterer HTTPA ikke, at andre beregninger udført under driften af webserveren, som ikke udføres i TEE, ikke er blevet kompromitteret, hvilket kræver brug af en særskilt tilgang til udvikling af webtjenester. HTTPA er således hovedsageligt rettet mod brug med specialiserede tjenester, der har øgede krav til informationsintegritet, såsom finansielle og medicinske systemer.
Til situationer, hvor beregninger i TEE skal bekræftes for både serveren og klienten, leveres en variant af mHTTPA (Mutual HTTPA) protokollen, som udfører to-vejs verifikation. Denne mulighed er mere kompliceret på grund af behovet for tovejsgenerering af sessionsnøgler til serveren og klienten.
Kilde: opennet.ru