پرو ہوسٹر > بلاگ > انٹرنیٹ کی خبریں > انٹیل HTTPS کی تکمیل کے لیے HTTPA پروٹوکول تیار کر رہا ہے۔

انٹیل HTTPS کی تکمیل کے لیے HTTPA پروٹوکول تیار کر رہا ہے۔

Intel کے انجینئرز نے ایک نیا HTTPA پروٹوکول (HTTPS Attestable) تجویز کیا ہے، جس میں کئے گئے حسابات کی حفاظت کی اضافی ضمانتوں کے ساتھ HTTPS کو بڑھایا گیا ہے۔ HTTPA آپ کو سرور پر صارف کی درخواست پر کارروائی کرنے کی سالمیت کی ضمانت دینے اور اس بات کو یقینی بنانے کی اجازت دیتا ہے کہ ویب سروس قابل اعتماد ہے اور سرور پر TEE ماحول (ٹرسٹڈ ایگزیکیوشن انوائرمنٹ) میں چلنے والے کوڈ کو ہیکنگ کے نتیجے میں تبدیل نہیں کیا گیا ہے۔ منتظم کی طرف سے تخریب کاری۔

HTTPS نیٹ ورک پر ٹرانسمیشن کے دوران منتقل شدہ ڈیٹا کی حفاظت کرتا ہے، لیکن سرور پر حملوں کے نتیجے میں اس کی سالمیت کی خلاف ورزی سے نہیں روک سکتا۔ انٹیل ایس جی ایکس (سافٹ ویئر گارڈ ایکسٹینشن)، اے آر ایم ٹرسٹ زون اور اے ایم ڈی پی ایس پی (پلیٹ فارم سیکیورٹی پروسیسر) جیسی ٹیکنالوجیز کا استعمال کرتے ہوئے بنائے گئے الگ تھلگ انکلیو، حساس کمپیوٹنگ کی حفاظت اور آخری نوڈ پر حساس معلومات کے رساو یا ترمیم کے خطرے کو کم کرنے کی صلاحیت فراہم کرتے ہیں۔

منتقل شدہ معلومات کی وشوسنییتا کی ضمانت کے لیے، HTTPA آپ کو Intel SGX میں فراہم کردہ تصدیقی ٹولز استعمال کرنے کی اجازت دیتا ہے، جو اس انکلیو کی صداقت کی تصدیق کرتے ہیں جس میں حسابات کیے گئے تھے۔ بنیادی طور پر، HTTPA ایک انکلیو کو دور سے تصدیق کرنے کی صلاحیت کے ساتھ HTTPS کو بڑھاتا ہے اور آپ کو یہ تصدیق کرنے کی اجازت دیتا ہے کہ یہ ایک حقیقی Intel SGX ماحول میں چل رہا ہے اور ویب سروس پر بھروسہ کیا جا سکتا ہے۔ پروٹوکول ابتدائی طور پر ایک عالمگیر کے طور پر تیار کیا جا رہا ہے اور، Intel SGX کے علاوہ، دوسرے TEE سسٹمز کے لیے بھی لاگو کیا جا سکتا ہے۔

انٹیل HTTPS کی تکمیل کے لیے HTTPA پروٹوکول تیار کر رہا ہے۔

HTTPS کے لیے ایک محفوظ کنکشن قائم کرنے کے عام عمل کے علاوہ، HTTPA کو ایک قابل اعتماد سیشن کلید کی بات چیت کی بھی ضرورت ہوتی ہے۔ پروٹوکول ایک نیا HTTP طریقہ "ATTEST" متعارف کرایا ہے، جو آپ کو تین قسم کی درخواستوں اور جوابات پر کارروائی کرنے کی اجازت دیتا ہے:

  • "پری فلائٹ" یہ چیک کرنے کے لیے کہ آیا ریموٹ سائیڈ انکلیو کی تصدیق کو سپورٹ کرتی ہے۔
  • تصدیق کے پیرامیٹرز پر اتفاق کرنے کے لیے "تصدیق" (ایک خفیہ الگورتھم کا انتخاب، سیشن کے لیے منفرد بے ترتیب ترتیبوں کا تبادلہ، ایک سیشن شناخت کنندہ تیار کرنا اور انکلیو کی عوامی کلید کو کلائنٹ کو منتقل کرنا)؛
  • "قابل اعتماد سیشن" - قابل اعتماد معلومات کے تبادلے کے لیے سیشن کلید کی تخلیق۔ سیشن کی کلید سرور سے موصول ہونے والی TEE عوامی کلید کا استعمال کرتے ہوئے کلائنٹ کے ذریعہ تیار کردہ پری سیشن سیکرٹ پر پہلے سے متفقہ طور پر بنائی جاتی ہے، اور ہر فریق کے ذریعہ تیار کردہ بے ترتیب ترتیب۔

انٹیل HTTPS کی تکمیل کے لیے HTTPA پروٹوکول تیار کر رہا ہے۔

HTTPA کا مطلب ہے کہ کلائنٹ قابل بھروسہ ہے اور سرور نہیں ہے، یعنی کلائنٹ اس پروٹوکول کا استعمال TEE ماحول میں حسابات کی تصدیق کے لیے کر سکتا ہے۔ ایک ہی وقت میں، HTTPA اس بات کی ضمانت نہیں دیتا کہ ویب سرور کے آپریشن کے دوران انجام دیے گئے دوسرے حسابات جو TEE میں نہیں کیے گئے ہیں، سے سمجھوتہ نہیں کیا گیا ہے، جس کے لیے ویب سروسز کی ترقی کے لیے ایک الگ طریقہ استعمال کرنے کی ضرورت ہے۔ اس طرح، HTTPA کا مقصد بنیادی طور پر خصوصی خدمات کے ساتھ استعمال کرنا ہے جس میں معلومات کی سالمیت کی ضروریات میں اضافہ ہوا ہے، جیسے کہ مالیاتی اور طبی نظام۔

ایسے حالات کے لیے جہاں سرور اور کلائنٹ دونوں کے لیے TEE میں حسابات کی تصدیق ہونی چاہیے، mHTTPA (Mutual HTTPA) پروٹوکول کا ایک قسم فراہم کیا جاتا ہے، جو دو طرفہ تصدیق کرتا ہے۔ سرور اور کلائنٹ کے لیے سیشن کیز کی دو طرفہ جنریشن کی ضرورت کی وجہ سے یہ آپشن زیادہ پیچیدہ ہے۔

ماخذ: opennet.ru

نیا تبصرہ شامل کریں