Desde Linux Darkcrizt  

HTTPA, un protocolo para servicios web en entornos de confianza

HTTPS es actualmente el protocolo principal para aplicaciones web que proporciona una conexión rápida y segura con un cierto nivel de confidencialidad e integridad. Sin embargo, HTTPS no puede proporcionar garantías de seguridad sobre los datos de la solicitud en el cálculo, por lo que el entorno de TI presenta riesgos y vulnerabilidades.

Ante esto, dos empleados de Intel creen que los servicios web se pueden hacer más seguros no solo realizando cálculos en entornos confiables de ejecución remota, o TEE, sino también verificando para los clientes que se haya realizado.

Gordon King, ingeniero de software y Hans Wang, investigador de Intel Labs, propusieron un protocolo para hacer esto posible. En un artículo titulado: “HTTPA: HTTPS Attestable Protocol”, publicado hace poco en ArXiv, describen un protocolo HTTP llamado HTTPS Attestable (HTTPA) para mejorar la seguridad en línea a través de la certificación remota.

Una forma de que las aplicaciones obtengan la seguridad de que los datos serán procesados ​​por software confiable en entornos de ejecución seguros. Se puede utilizar un entorno de ejecución confiable (TEE) basado en hardware, como Intel Software Guard Extension (Intel SGX).

Dado que Intel Software Guard Extension (Intel SGX) proporciona encriptación en memoria para ayudar a proteger la computación en ejecución para reducir el riesgo de filtración o modificación ilegal de información privada. El concepto central de SGX permite que el cálculo se lleve a cabo dentro del recinto, un entorno protegido que cifra códigos y datos relacionados con un cálculo sensible a la seguridad.

Además, el SGX ofrece garantías de seguridad a través de la certificación remota para el cliente web, incluida la identidad del proveedor y la identidad de verificación.

«Aquí ofrecemos un protocolo HTTP atestable HTTPS (HTTPA), que incluye el proceso de atestación remota en el protocolo HTTPS para abordar los problemas de privacidad y seguridad», dice Intel.

“Con HTTPA, podemos brindar garantías de seguridad para establecer la confiabilidad de los servicios web y asegurar la integridad del procesamiento de las solicitudes para los usuarios de la web”, dicen King y Wang. Creemos que la atestación remota se convertirá en una nueva tendencia adoptada para reducir los riesgos de seguridad de los servicios web, y ofrecemos el protocolo HTTPA para unificar la atestación web y el acceso a los servicios de manera estándar y eficiente. «

Intel utiliza la atestación remota como interfaz básica para que los usuarios o los servicios web establezcan la confianza como un canal de confianza seguro para entregar secretos o información confidencial. Para lograr este objetivo, estamos agregando un nuevo conjunto de métodos HTTP, que incluyen solicitud / respuesta de verificación previa HTTP, solicitud / respuesta de atestación HTTP, solicitud / respuesta de sesión de confianza HTTP, para lograr una atestación remota que permita a los usuarios y a los servicios web establecer una conexión directamente al código en ejecución.

HTTPA está diseñado para proporcionar certificación remota y garantías informáticas confidenciales entre un cliente y un servidor cuando se utiliza la web a través de Internet. En el caso de HTTPA, asumimos que el cliente es confiable y el servidor no. El usuario del cliente puede comprobar estas garantías para decidir si puede confiar y ejecutar las cargas de trabajo informáticas en el servidor o no. Sin embargo, HTTPA no ofrece ninguna garantía de que el servidor sea confiable. HTTPA tiene dos partes: comunicación y computación.

En cuanto a la seguridad de la comunicación, HTTPA toma todos los supuestos de HTTPS para la seguridad de la comunicación, incluido el uso de TLS y la comunicación segura, en particular el uso de TLS y la verificación de la identidad de la persona. Con respecto a la seguridad computacional, el protocolo HTTPA requiere proporcionar un estado de garantía adicional de la atestación remota para que las cargas de trabajo de TI se realicen dentro del enclave seguro, de modo que el usuario del cliente pueda ejecutar las cargas de trabajo en la memoria cifrada.

King y Wang dijeron:

“Creemos que HTTPA podría ser potencialmente beneficioso para ciertas industrias, por ejemplo, FinTech y atención médica. Cuando se les preguntó si el protocolo podría interferir con los servicios que tienen requisitos estrictos de ancho de banda o latencia, respondieron: “Se necesitaría una mayor exploración para confirmar cualquier impacto en el rendimiento; sin embargo, no esperamos ningún cambio de rendimiento significativo de otros protocolos HTTPS. En cuanto a si se podría adoptar HTTPA o cuándo, no está claro. Cuando se les preguntó si había planes para enviar la especificación como un RFC o emprender alguna otra forma de estandarización, respondieron: “Tenemos discusiones en curso que deben ser revisadas por el equipo legal de Intel antes de que podamos adoptar HTTPA. «

Finalmente si estás interesado en conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

Leave A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.