Enjenyè nan Intel te pwopoze yon nouvo HTTPA pwotokòl (HTTPS Attestable), agrandi HTTPS ak garanti adisyonèl nan sekirite nan kalkil yo fè. HTTPA pèmèt ou garanti entegrite nan pwosesis yon demann itilizatè sou sèvè a epi asire w ke sèvis entènèt la fè konfyans ak kòd la kouri nan anviwònman an TEE (Trusted Execution Environment) sou sèvè a pa te chanje kòm yon rezilta nan piratage oswa sabotaj pa administratè a.
HTTPS pwoteje done transmèt pandan transmisyon sou rezo a, men li pa ka anpeche entegrite li yo vyole kòm rezilta atak sou sèvè a. Anklav izole, ki te kreye lè l sèvi avèk teknoloji tankou Intel SGX (Software Guard Extension), ARM TrustZone ak AMD PSP (Platform Security Processor), fè li posib pou pwoteje enfòmatik sansib epi redwi risk pou yo flit oswa modifikasyon enfòmasyon sansib sou ne final la.
Pou garanti fyab enfòmasyon ki transmèt yo, HTTPA pèmèt ou sèvi ak zouti atestasyon yo bay nan Intel SGX, ki konfime otantisite anklav kote yo te fè kalkil yo. Esansyèlman, HTTPA pwolonje HTTPS ak kapasite pou ateste yon anklav adistans epi pèmèt ou verifye ke li ap kouri nan yon anviwònman Intel SGX otantik epi yo ka fè konfyans nan sèvis entènèt la. Pwotokòl la okòmansman devlope kòm yon inivèsèl epi, anplis Intel SGX, yo ka aplike pou lòt sistèm TEE.
Anplis pwosesis nòmal pou etabli yon koneksyon an sekirite pou HTTPS, HTTPA anplis mande pou negosyasyon yon kle sesyon ki fè konfyans. Pwotokòl la prezante yon nouvo metòd HTTP "ATTEST", ki pèmèt ou trete twa kalite demann ak repons:
- "prevol" pou tcheke si bò aleka sipòte atestasyon anklav;
- "ateste" pou dakò sou paramèt atestasyon (chwazi yon algorithm kriptografik, echanje sekans o aza inik nan sesyon an, jenere yon idantifyan sesyon ak transfere kle piblik anklav la nan kliyan an);
- "Sesyon konfyans" - jenerasyon yon kle sesyon pou echanj enfòmasyon ou fè konfyans. Kle sesyon an fòme baze sou yon sekrè anvan sesyon te dakò ak kliyan an ki te pwodwi lè l sèvi avèk kle piblik TEE yo te resevwa nan men sèvè a, ak sekans o aza ki te pwodwi pa chak pati.
HTTPA implique ke kliyan an fè konfyans epi sèvè a pa, i.e. kliyan an ka itilize pwotokòl sa a pou verifye kalkil nan yon anviwònman TEE. An menm tan an, HTTPA pa garanti ke lòt kalkil ki fèt pandan operasyon an nan sèvè entènèt la ki pa fèt nan TEE pa te konpwomèt, ki mande pou yo sèvi ak yon apwòch separe nan devlopman nan sèvis entènèt. Kidonk, HTTPA se sitou ki vize a itilize ak sèvis espesyalize ki te ogmante kondisyon pou entegrite enfòmasyon, tankou sistèm finansye ak medikal.
Pou sitiyasyon kote kalkil nan TEE yo dwe konfime pou tou de sèvè a ak kliyan an, yo bay yon variant de mHTTPA (Mutual HTTPA) pwotokòl la, ki fè verifikasyon de-fason. Opsyon sa a pi konplike akòz nesesite pou jenerasyon de-fason kle sesyon pou sèvè a ak kliyan an.
Sous: opennet.ru