Интелови инжењери су предложили нови ХТТПА протокол (ХТТПС Аттестабле), проширујући ХТТПС додатним гаранцијама сигурности извршених прорачуна. ХТТПА вам омогућава да гарантујете интегритет обраде корисничког захтева на серверу и да се уверите да је веб услуга поуздана и да код који ради у ТЕЕ окружењу (Трустед Екецутион Енвиронмент) на серверу није промењен као резултат хаковања или саботажа од стране администратора.
ХТТПС штити пренете податке током преноса преко мреже, али не може спречити да се њихов интегритет наруши као резултат напада на сервер. Изоловане енклаве, креиране коришћењем технологија као што су Интел СГКС (Софтваре Гуард Ектенсион), АРМ ТрустЗоне и АМД ПСП (Платформ Сецурити Процессор), омогућавају заштиту осетљивог рачунарства и смањују ризик од цурења или модификације осетљивих информација на крајњем чвору.
Да би се гарантовала поузданост пренетих информација, ХТТПА вам омогућава да користите алате за атестирање обезбеђене у Интел СГКС, који потврђују аутентичност енклаве у којој су извршени прорачуни. У суштини, ХТТПА проширује ХТТПС могућношћу даљинског атестирања енклаве и омогућава вам да проверите да ли ради у оригиналном Интел СГКС окружењу и да се веб сервису може веровати. Протокол се у почетку развија као универзалан и, поред Интел СГКС, може се имплементирати и за друге ТЕЕ системе.
Поред нормалног процеса успостављања безбедне везе за ХТТПС, ХТТПА додатно захтева преговарање о кључу сесије од поверења. Протокол уводи нови ХТТП метод „АТТЕСТ“, који вам омогућава да обрађујете три типа захтева и одговора:
- "префлигхт" да провери да ли удаљена страна подржава атестирање енклаве;
- „атест“ за усаглашавање параметара атестирања (одабир криптографског алгоритма, размена насумичних секвенци јединствених за сесију, генерисање идентификатора сесије и пренос јавног кључа енклаве клијенту);
- „поуздана сесија“ - генерисање кључа сесије за размену поузданих информација. Кључ сесије се формира на основу претходно договорене тајне пре сесије коју генерише клијент користећи ТЕЕ јавни кључ примљен од сервера и насумичне секвенце које генерише свака страна.
ХТТПА подразумева да је клијент поуздан, а сервер није, тј. клијент може да користи овај протокол за верификацију прорачуна у ТЕЕ окружењу. Истовремено, ХТТПА не гарантује да нису компромитовани други прорачуни који се врше током рада веб сервера који се не врше у ТЕЕ, што захтева употребу посебног приступа развоју веб сервиса. Дакле, ХТТПА је углавном усмерен на коришћење са специјализованим сервисима који имају повећане захтеве за интегритетом информација, као што су финансијски и медицински системи.
За ситуације у којима се прорачуни у ТЕЕ морају потврдити и за сервер и за клијента, обезбеђена је варијанта мХТТПА (Мутуал ХТТПА) протокола, који врши двосмерну верификацију. Ова опција је компликованија због потребе за двосмерним генерисањем кључева сесије за сервер и клијента.
Извор: опеннет.ру