Verkfræðingar frá Intel hafa lagt til nýja HTTPA samskiptareglur (HTTPS Attestable), sem stækkar HTTPS með viðbótarábyrgð á öryggi útreikninga sem framkvæmdir eru. HTTPA gerir þér kleift að tryggja heilleika vinnslu notendabeiðni á þjóninum og ganga úr skugga um að vefþjónustan sé áreiðanleg og kóðinn sem keyrir í TEE umhverfinu (Trusted Execution Environment) á þjóninum hafi ekki verið breytt vegna innbrots eða skemmdarverk af hálfu stjórnanda.
HTTPS verndar send gögn meðan á sendingu stendur yfir netið, en getur ekki komið í veg fyrir að heilindi þeirra verði brotin vegna árása á netþjóninn. Einangraðar enclaves, búnar til með því að nota tækni eins og Intel SGX (Software Guard Extension), ARM TrustZone og AMD PSP (Platform Security Processor), gera það mögulegt að vernda viðkvæma tölvu og draga úr hættu á leka eða breytingum á viðkvæmum upplýsingum á endahnútnum.
Til að tryggja áreiðanleika sendra upplýsinga gerir HTTPA þér kleift að nota staðfestingarverkfærin sem eru í Intel SGX, sem staðfesta áreiðanleika enclavesins þar sem útreikningarnir voru gerðir. Í meginatriðum, HTTPA framlengir HTTPS með getu til að fjarstýra enclave og leyfa þér að sannreyna að það sé keyrt í ekta Intel SGX umhverfi og að hægt sé að treysta vefþjónustunni. Samskiptareglurnar eru upphaflega þróaðar sem alhliða og, auk Intel SGX, er hægt að útfæra hana fyrir önnur TEE kerfi.
Til viðbótar við venjulegt ferli við að koma á öruggri tengingu fyrir HTTPS, krefst HTTPA að auki samningaviðræður um áreiðanlegan lotulykil. Samskiptareglur kynna nýja HTTP aðferð „ATTEST“ sem gerir þér kleift að vinna úr þremur tegundum beiðna og svara:
- "preflight" til að athuga hvort ytri hliðin styður enclave vottun;
- „vottorð“ til að samþykkja staðfestingarfæribreytur (velja dulritunaralgrím, skiptast á handahófskenndum röðum sem eru einstakar fyrir lotuna, búa til lotuauðkenni og flytja opinberan lykil enclave til viðskiptavinarins);
- „traust fundur“ - myndun lotulykils fyrir traust upplýsingaskipti. Setulykillinn er myndaður á grundvelli áður samþykktu leyndarmáls fyrir lotu sem viðskiptavinurinn býr til með því að nota TEE almenningslykilinn sem er móttekinn frá þjóninum, og handahófskenndar raðir sem hver aðili býr til.
HTTPA gefur til kynna að viðskiptavinurinn sé áreiðanlegur og þjónninn ekki, þ.e. viðskiptavinurinn getur notað þessa samskiptareglu til að sannreyna útreikninga í TEE umhverfi. Á sama tíma ábyrgist HTTPA ekki að aðrir útreikningar sem framkvæmdir eru við rekstur vefþjónsins sem ekki eru gerðir í TEE hafi ekki verið í hættu, sem krefst þess að nota sérstaka nálgun við þróun vefþjónustu. Þannig miðar HTTPA aðallega að notkun með sérhæfðri þjónustu sem hefur auknar kröfur um upplýsingaheilleika, svo sem fjármála- og sjúkrakerfi.
Fyrir aðstæður þar sem útreikningar í TEE verða að vera staðfestir fyrir bæði netþjóninn og viðskiptavininn, er afbrigði af mHTTPA (Mutual HTTPA) samskiptareglum, sem framkvæmir tvíhliða sannprófun. Þessi valkostur er flóknari vegna þess að þörf er á tvíhliða gerð setulykla fyrir netþjóninn og viðskiptavininn.
Heimild: opennet.ru