英特爾研究人員倡議新的 HTTPA 網頁安全協定標準 確保伺服器端系統沒有被入侵

兩名英特爾員工指出，要確保 Web 服務安全，不僅要在遠端伺服器上的可信任執行環境 (Trusted Execution Environment, TEE)執行運算，客戶端也要驗證的確如此。

英特爾軟體工程師 Gordon King 及科學家 Hans Wang 本月發表一篇論文，談到名為 HTTPS Attestable (HTTPA) 的 HTTP 協定，以遠端驗證提升線上安全性，向 App 保證資料是由可信任軟體在安全執行環境中處理。

理想狀態是應用程式可透過憑證和密碼來驗證伺服器 TEE 中跑的程式碼就是我們希望跑的程式碼，沒有被劫持的 OS、Hypervisor、不肖管理員、駭客或惡意程式竄改過。TEE 應該要能防止或偵測惡意刺探、變更程式或資料。

他們指出，軟體服務很容易被入侵者劫持，光是 HTTPS 不足以保證運算作業或通訊頻道的完整性， 但 HTTPA 或許可填補這塊不足。

研究人員認為利用 HTTPA 可以建立 Web services 的可信任度，確保使用者呼叫處理的完整性，他們相信遠端驗證可以成為提升 Web 服務安全的新主流，認為 HTTPA 協定可作為統合網頁驗證及存取服務的新標準。

英特爾可提供 SGX 實現 TEE

HTTPA 仰賴 TEE，而英特爾剛好有這個東西：Software Guard Extension (SGX)。應用程式可 SGX 在記憶體內形成一個保護區，利用記憶體內加密或其他技術，使敏感資訊的運算在隔離其他軟體的安全環境下執行。在這個保護區內，可以檢查內容運作如實，基本上 SGX 提供論文中提及的遠端驗證系統需要的元素。

但 King 和 Wang 指出，雖然他們提議的方案是以 Intel SGX 提供 Web 互動安全，但這協定也可相容其他廠商的 TEE，像是 Arm 的 TrustZone。

TEE 過去雖已用來保護 Web 服務，但只發展出特定應用，而他們提供的是標準化 HTTPS 上驗證的通用方案，可建立多道信任連線以保護和管理特定 HTTP 網域的呼叫資料。

HTTPA 假設用戶端已被信任，但伺服器未獲信任。因此用戶端可用 HTTPA 取得保證，保證伺服器可處理 TEE 內的呼叫運算。但 HTTPA 無法延伸到 TEE 之外，保證整體伺服器的可信任度。

簡單而言，HTTPA 具有 TLS 的安全效益，像是伺服器憑證的驗證、完整性保證、前向保密 (forward secrecy) 及防止連線重送攻擊 (session replay)，而且可擴大保護範圍到靜止資料及運算期間。

兩位作者相信 HTTPA 對於金融或醫療業等有資料保密需求的產業將很有幫助。對於需要雙向驗證的應用場景，作者又提出共同 HTTPA，或 mHTTPA，不過這更複雜一點，因為用戶端和伺服器都必須具有連線前憑證，以便可在 TEE 獲得連線金鑰。

這協定是否會對頻寬或延遲性要求較大的服務產生干擾，研究人員表示還需要進一步探討，不過他們相信不會受到其他 HTTPS 協定影響效能。

英特爾內部仍在討論將 HTTPA 規格送交標準委員會審議的可能性。

來源：The Register