Insinyur ti Intel parantos ngusulkeun protokol HTTPA anyar (HTTPS Attestable), ngalegaan HTTPS kalayan jaminan tambahan pikeun kaamanan itungan anu dilakukeun. HTTPA ngamungkinkeun anjeun pikeun ngajamin integritas ngolah pamundut pangguna dina server sareng mastikeun yén layanan wéb tiasa dipercaya sareng kodeu dijalankeun di lingkungan TEE (Lingkungan Palaksanaan Dipercaya) dina server teu acan dirobih salaku hasil tina hacking atanapi sabotase ku pangurus.
HTTPS ngajaga data dikirimkeun salila pangiriman ngaliwatan jaringan, tapi teu bisa nyegah integritas na dilanggar salaku hasil tina serangan dina server. Enclaves terasing, didamel nganggo téknologi sapertos Intel SGX (Software Guard Extension), ARM TrustZone sareng AMD PSP (Platform Security Processor), ngamungkinkeun ngajaga komputasi sénsitip sareng ngirangan résiko bocor atanapi modifikasi inpormasi sénsitip dina titik tungtung.
Pikeun ngajamin reliabilitas inpormasi anu dikirimkeun, HTTPA ngamungkinkeun anjeun ngagunakeun alat attestation anu disayogikeun dina Intel SGX, anu mastikeun kaaslian enclave dimana itungan dilaksanakeun. Intina, HTTPA ngalegaan HTTPS kalayan kamampuan pikeun ngabuktoskeun enclave tina jarak jauh sareng ngamungkinkeun anjeun pariksa yén éta jalan di lingkungan Intel SGX asli sareng yén jasa wéb tiasa dipercaya. Protokol ieu mimitina dikembangkeun salaku anu universal sareng, salian ti Intel SGX, tiasa dilaksanakeun pikeun sistem TEE anu sanés.
Salian prosés normal nyieun sambungan aman pikeun HTTPS, HTTPA ogé merlukeun rundingan konci sési dipercaya. Protokol ngenalkeun metode HTTP anyar "ATTEST", anu ngamungkinkeun anjeun ngolah tilu jinis pamundut sareng réspon:
- "preflight" pikeun mariksa lamun sisi jauh ngarojong enclave attestation;
- "ngabuktoskeun" pikeun satuju kana parameter attestation (milih algoritma kriptografi, tukeur sekuen acak anu unik pikeun sési, ngahasilkeun identifier sési sareng nransferkeun konci umum enclave ka klien);
- "sesi dipercaya" - generasi konci sési pikeun bursa informasi dipercaya. Konci sési kabentuk dumasar kana rusiah pra-sesi anu sapuk saméméhna anu dihasilkeun ku klien ngagunakeun konci umum TEE anu ditampi ti server, sareng sekuen acak anu dihasilkeun ku unggal pihak.
HTTPA nunjukkeun yén klienna tiasa dipercaya sareng server henteu, i.e. klien nu bisa make protokol ieu pikeun pariksa itungan dina lingkungan TEE. Dina waktos anu sami, HTTPA henteu ngajamin yén itungan sanés anu dilakukeun nalika ngoperasikeun pangladén wéb anu henteu dilaksanakeun dina TEE teu acan dikompromi, anu peryogi pamakean pendekatan anu misah pikeun ngembangkeun jasa wéb. Ku kituna, HTTPA utamina ditujukeun pikeun dianggo sareng jasa khusus anu ningkatkeun syarat pikeun integritas inpormasi, sapertos sistem kauangan sareng médis.
Pikeun kaayaan dimana itungan dina TEE kedah dikonfirmasi pikeun server sareng klien, varian protokol mHTTPA (Mutual HTTPA) disayogikeun, anu ngalaksanakeun verifikasi dua arah. Pilihan ieu leuwih pajeulit alatan perlu pikeun generasi dua arah konci sési pikeun server na klien.
sumber: opennet.ru