HTTP, HTTPS và có thể sắp tới sẽ là giao thức bảo mật HTTPA ?

HTTPA: Dịch vụ web trong môi trường tin cậy từ xa đã được xác minh. (Web services in verified remote trusted environments).

Mới đây, hai kỹ sư của Intel cho rằng các dịch vụ web có thể được đảm bảo an toàn hơn bằng cách chứng minh cho khác hàng rằng dịch vụ web đã được xác minh là tin cậy.

Hai kỹ sư phần mềm Gordon King và Hans Wang đang làm nghiên cứu tại Intel Labs đã đề xuất giao thức HTTPA để biến điều đó thành khả thi.

Trong một bài báo đăng trên ArXiv (https://www.theregister.com/2021/10/20/intel_sgx_httpa/), hai tác giả mô tả một giao thức HTTP dưới tên gọi là HTTPS Attestable (HTTPA) để tăng cường bảo mật trực tuyến.

Tóm tắt nghiên cứu này như sau: 

Giao thức HTTPS (Hyper Text Transfer Protocol Secure – giao thức truyền tải siêu văn bản được bảo mật đã trở thành một phần không thể thiếu của công nghệ internet hiện đại.

Đây là giao thức bảo mật chính cho các trang web hiện nay. Giao thức này cung cấp một kết nối nhanh chóng, an toàn với một mức độ riêng tư và toàn vẹn nhất định, và HTTPS đã trở thành “điều gần như bắt buộc phải có” trên hầu hết các dịch vụ web trên internet.

Tuy nhiên, HTTPS không thể cung cấp các đảm bảo bảo mật đối với các yêu cầu dữ liệu được tính toán trên máy tính, do đó, môi trường máy tính vẫn tồn tại những rủi ro và lỗ hổng không chắc chắn.

Môi trường thực thi tin cậy dựa trên phần cứng (TEE) chẳng hạn như Intel Software Guard Extension (SGX) cung cấp khả năng mã hóa trong bộ nhớ để giúp bảo vệ các tính toán trong thời gian xử lý dữ liệunhằm giảm rủi ro từ việc rò rỉ hoặc bị sửa đổi bất hợp pháp các thông tin cá nhân.

Khái niệm trung tâm của SGX cho phép tính toán diễn ra bên trong một vùng an toàn bào gồm: một môi trường được mã hóa. Ngoài ra, SGX còn cung cấp các đảm bảo bảo mật thông qua chứng thực từ xa cho máy khách web, bao gồm danh tính TCB, danh tính nhà cung cấp và danh tính xác minh.

Ở đây, chúng tôi đề xuất một giao thức HTTP bổ sung, được gọi là HTTPS Attestable (HTTPA), bằng cách đưa quy trình chứng thực từ xa vào giao thức HTTPS để giải quyết các mối quan tâm về quyền riêng tư và bảo mật trên web khi truy cập qua Internet.

Với HTTPA, chúng tôi có thể cung cấp các đảm bảo bảo mật để thiết lập độ tin cậy với các dịch vụ web và đảm bảo tính toàn vẹn của việc xử lý các yêu cầu của người dùng web.

Chúng tôi kỳ vọng rằng chứng thực từ xa sẽ trở thành một xu hướng mới và được áp dụng rộng rãi để giảm các rủi ro về bảo mật web.

 

Đặt Câu hỏi hoặc để lại Bình luận - Yêu cầu của bạn

Share via
Copy link