Wahandisi kutoka Intel wamependekeza itifaki mpya ya HTTPA (HTTPS Attestable), kupanua HTTPS kwa dhamana ya ziada ya usalama wa hesabu zilizofanywa. HTTPA hukuruhusu kuhakikisha uadilifu wa kuchakata ombi la mtumiaji kwenye seva na kuhakikisha kuwa huduma ya wavuti inaaminika na msimbo unaoendeshwa katika mazingira ya TEE (Mazingira ya Utekelezaji Yanayoaminika) kwenye seva haijabadilishwa kwa sababu ya udukuzi au udukuzi. hujuma na msimamizi.
HTTPS hulinda data inayotumwa wakati wa kutumwa kwenye mtandao, lakini haiwezi kuzuia uadilifu wake kukiukwa kutokana na mashambulizi kwenye seva. Viunga vilivyotengwa, vilivyoundwa kwa kutumia teknolojia kama vile Intel SGX (Kiendelezi cha Walinzi wa Programu), ARM TrustZone na AMD PSP (Kichakataji cha Usalama cha Mfumo), hutoa uwezo wa kulinda kompyuta nyeti na kupunguza hatari ya kuvuja au kubadilishwa kwa maelezo nyeti kwenye nodi ya mwisho.
Ili kuhakikisha kuegemea kwa habari iliyopitishwa, HTTPA hukuruhusu kutumia zana za uthibitishaji zilizotolewa katika Intel SGX, ambayo inathibitisha ukweli wa enclave ambayo mahesabu yalifanyika. Kimsingi, HTTPA hupanua HTTPS kwa uwezo wa kuthibitisha enclave kwa mbali na kukuruhusu kuthibitisha kuwa inaendeshwa katika mazingira halisi ya Intel SGX na kwamba huduma ya wavuti inaweza kuaminiwa. Itifaki hiyo hapo awali inatengenezwa kama ya ulimwengu wote na, pamoja na Intel SGX, inaweza kutekelezwa kwa mifumo mingine ya TEE.
Kando na mchakato wa kawaida wa kuanzisha muunganisho salama wa HTTPS, HTTPA pia inahitaji mazungumzo ya ufunguo wa kipindi unaoaminika. Itifaki inatanguliza mbinu mpya ya HTTP "ATTEST", ambayo hukuruhusu kuchakata aina tatu za maombi na majibu:
- "preflight" ili kuangalia ikiwa upande wa mbali unaauni uthibitisho wa enclave;
- "thibitisha" kwa kukubaliana juu ya vigezo vya uthibitisho (kuchagua algoriti ya kriptografia, kubadilishana mlolongo wa kipekee kwa kipindi, kutoa kitambulisho cha kikao na kuhamisha ufunguo wa umma wa enclave kwa mteja);
- "kipindi kinachoaminika" - uundaji wa ufunguo wa kipindi kwa ubadilishanaji wa habari unaoaminika. Ufunguo wa kipindi huundwa kulingana na siri iliyokubaliwa hapo awali juu ya kikao cha awali iliyotolewa na mteja kwa kutumia ufunguo wa umma wa TEE uliopokewa kutoka kwa seva, na mifuatano ya nasibu inayotolewa na kila mhusika.
HTTPA inamaanisha kuwa mteja anaaminika na seva sio, i.e. mteja anaweza kutumia itifaki hii kuthibitisha hesabu katika mazingira ya TEE. Wakati huo huo, HTTPA haihakikishi kwamba mahesabu mengine yaliyofanywa wakati wa uendeshaji wa seva ya wavuti ambayo haijafanywa katika TEE haijaathiriwa, ambayo inahitaji matumizi ya mbinu tofauti ya maendeleo ya huduma za mtandao. Kwa hivyo, HTTPA inalenga hasa kutumika na huduma maalum ambazo zimeongeza mahitaji ya uadilifu wa habari, kama vile mifumo ya kifedha na matibabu.
Kwa hali ambapo hesabu katika TEE lazima zidhibitishwe kwa seva na mteja, kibadala cha itifaki ya mHTTPA (Mutual HTTPA) hutolewa, ambayo hufanya uthibitishaji wa njia mbili. Chaguo hili ni ngumu zaidi kwa sababu ya hitaji la kizazi cha njia mbili za funguo za kikao kwa seva na mteja.
Chanzo: opennet.ru