Engenheiros da Intel propuseram um novo protocolo HTTPA (HTTPS Attestable), ampliando o HTTPS com garantias adicionais de segurança dos cálculos realizados. HTTPA permite garantir a integridade do processamento de uma solicitação do usuário no servidor e garantir que o serviço web seja confiável e que o código em execução no ambiente TEE (Trusted Execution Environment) no servidor não tenha sido alterado como resultado de hacking ou sabotagem por parte do administrador.
HTTPS protege os dados transmitidos durante a transmissão pela rede, mas não pode impedir que sua integridade seja violada como resultado de ataques ao servidor. Enclaves isolados, criados com tecnologias como Intel SGX (Software Guard Extension), ARM TrustZone e AMD PSP (Platform Security Processor), permitem proteger a computação sensível e reduzir o risco de vazamento ou modificação de informações confidenciais no nó final.
Para garantir a confiabilidade das informações transmitidas, o HTTPA permite utilizar as ferramentas de atestado fornecidas no Intel SGX, que confirmam a autenticidade do enclave em que os cálculos foram realizados. Essencialmente, o HTTPA estende o HTTPS com a capacidade de atestar remotamente um enclave e permitir verificar se ele está sendo executado em um ambiente Intel SGX genuíno e se o serviço da Web é confiável. O protocolo está sendo desenvolvido inicialmente como universal e, além do Intel SGX, pode ser implementado para outros sistemas TEE.
Além do processo normal de estabelecimento de uma conexão segura para HTTPS, o HTTPA também requer a negociação de uma chave de sessão confiável. O protocolo introduz um novo método HTTP “ATTEST”, que permite processar três tipos de solicitações e respostas:
- "preflight" para verificar se o lado remoto suporta atestado de enclave;
- “atestado” para concordar com os parâmetros de atestado (selecionar um algoritmo criptográfico, trocar sequências aleatórias exclusivas da sessão, gerar um identificador de sessão e transferir a chave pública do enclave para o cliente);
- “sessão confiável” - geração de uma chave de sessão para troca confiável de informações. A chave de sessão é formada com base em um segredo de pré-sessão previamente acordado, gerado pelo cliente usando a chave pública TEE recebida do servidor e sequências aleatórias geradas por cada parte.
HTTPA implica que o cliente é confiável e o servidor não, ou seja, o cliente pode usar este protocolo para verificar cálculos em um ambiente TEE. Ao mesmo tempo, o HTTPA não garante que outros cálculos realizados durante a operação do servidor web que não são realizados no TEE não tenham sido comprometidos, o que requer o uso de uma abordagem separada para o desenvolvimento de serviços web. Assim, o HTTPA destina-se principalmente ao uso com serviços especializados que possuem requisitos aumentados de integridade da informação, como sistemas financeiros e médicos.
Para situações em que os cálculos em TEE devem ser confirmados tanto para o servidor quanto para o cliente, é fornecida uma variante do protocolo mHTTPA (Mutual HTTPA), que realiza verificação bidirecional. Esta opção é mais complicada devido à necessidade de geração bidirecional de chaves de sessão para o servidor e o cliente.
Fonte: opennet.ru