22.10.2021
HTTPS стал стандартом де-факто для обеспечения безопасного подключения для веб-сайтов и приложений. Однако и ему есть куда расти. Intel предложила новый протокол HTTPS-Attestable (HTTPA), который предназначен для дальнейшего повышения сетевой безопасности благодаря выполнению кода в доверенных аппаратных средах (Trusted Execution Environment, TEE).
Как отмечается, HTTPA улучшает сетевую безопасность с помощью удалённой аттестации, одного из способов получить подтверждение того, что данные обрабатываются доверенным программным обеспечением в защищённой среде. Приложения используют сертификаты и иные криптографические методы, чтобы убедиться, что код, выполняемый на сервере в TEE-анклаве, не был изменён мошенническим процессом, каким-либо инструментом или администратором системы.
Для этого предлагается использовать уже имеющиеся технологии Intel Software Guard Extension (Intel SGX) и Arm TrustZone, чтобы помочь защитить данные во время работы, снизить риски утечки или изменения данных. Идея состоит в том, чтобы повысить безопасность онлайн-сервисов, поскольку на данный момент веб-клиент не может проверить, что сервер не был взломан и что его данные не были изменены. При этом HTTPA предполагает повышение защиты лишь конкретного веб-приложения, а не всего сервера.
Как отмечается, HTTPA улучшает сетевую безопасность с помощью удалённой аттестации, одного из способов получить подтверждение того, что данные обрабатываются доверенным программным обеспечением в защищённой среде. Приложения используют сертификаты и иные криптографические методы, чтобы убедиться, что код, выполняемый на сервере в TEE-анклаве, не был изменён мошенническим процессом, каким-либо инструментом или администратором системы.
Для этого предлагается использовать уже имеющиеся технологии Intel Software Guard Extension (Intel SGX) и Arm TrustZone, чтобы помочь защитить данные во время работы, снизить риски утечки или изменения данных. Идея состоит в том, чтобы повысить безопасность онлайн-сервисов, поскольку на данный момент веб-клиент не может проверить, что сервер не был взломан и что его данные не были изменены. При этом HTTPA предполагает повышение защиты лишь конкретного веб-приложения, а не всего сервера.