The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Компания Intel развивает протокол HTTPA, дополняющий HTTPS

27.10.2021 13:58

Инженеры из компании Intel предложили новый протокол HTTPA (HTTPS Attestable), расширяющий HTTPS дополнительными гарантиями безопасности произведённых вычислений. HTTPA позволяет гарантировать целостность обработки запроса пользователя на сервере и убедиться в том, что web-сервис заслуживает доверия и работающий в TEE-окружении (Trusted Execution Environment) на сервере код не был изменён в результате взлома или диверсии администратора.

HTTPS защищает передаваемые данные на этапе передачи по сети, но не может исключить нарушение их целостности в результате атак на сервер. Изолированные анклавы, создаваемые при помощи таких технологий, как Intel SGX (Software Guard Extension), ARM TrustZone и AMD PSP (Platform Security Processor), дают возможность защитить важные вычисления и снизить риск утечек или изменения конфиденциальной информации на конечном узле.

HTTPA для гарантирования достоверности переданной информации позволяет задействовать предоставляемые в Intel SGX средства аттестации, подтверждающие подлинность анклава, в котором произведены вычисления. По сути HTTPA расширяет HTTPS возможностью удалённой аттестации анклава и позволяет проверить то, что он выполняется в подлинном окружении Intel SGX и web-сервису можно доверять. Протокол изначально развивается как универсальный и помимо Intel SGX может быть реализован и для других TEE-систем.



Помимо штатного для HTTPS процесса установки защищённого соединения, HTTPA дополнительно требует согласования сессионного ключа, заслуживающего доверия. Протокол вводит в обиход новый HTTP-метод "ATTEST", который позволяет обрабатывать три типа запросов и ответов:

  • "preflight" для проверки, поддерживает ли удалённая сторона аттестацию анклавов;
  • "attest" для согласования параметров аттестации (выбор криптографического алгоритма, обмен уникальными для сеанса случайными последовательностями, генерация идентификатора сеанса и передача клиенту открытого ключа анклава);
  • "trusted session" - формирование сессионного ключа для доверительного обмена информацией. Сессионный ключ формируется на основе ранее согласованной предварительной секретной последовательности (pre-session secret), сформированной клиентом с использованием полученного от сервера открытого ключа TEE, и сгенерированных каждой стороной случайных последовательностей.

HTTPA подразумевает, что клиент заслуживает доверия, а сервер нет, т.е. клиент может использовать данный протокол для верификации вычислений в TEE-окружении. При этом HTTPA не гарантирует, что производимые в процессе работы web-сервера остальные вычисления, производимые не в TEE, не были скомпрометированы, что требует применения отдельного подхода к разработке web-сервисов. Таким образом, в основном HTTPA нацелен на использование со специализированными сервисами, к которым предъявляются повышенные требования к целостности информации, такие как финансовые и медицинские системы.

Для ситуаций когда вычисления в TEE должны быть подтверждены как для сервера, так и для клиента предусмотрен вариант протокола mHTTPA (Mutual HTTPA), выполняющий двухстороннюю верификацию. Данный вариант более усложнённый из-за необходимости двустороннего формирования сессионных ключей для сервера и клиента.

  1. Главная ссылка к новости (https://www.theregister.com/20...)
  2. OpenNews: Huawei развивает протокол NEW IP, нацеленный на использование в сетях будущего
  3. OpenNews: Опубликована техника скрытия вредоносного кода в анклавах Intel SGX
  4. OpenNews: Уязвимость в чипах Qualcomm, позволяющая извлечь закрытые ключи из хранилища TrustZone
  5. OpenNews: Уязвимость TPM-Fail, позволяющая восстановить ключи, хранимые в TPM-модулях
  6. OpenNews: Атака на Intel SGX, позволяющая извлечь конфиденциальные данные или выполнить код в анклаве
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/56050-httpa
Ключевые слова: httpa, https, sgx, tee, enclave
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (98) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, linuxdehju (?), 14:16, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    а интересно чем не устроил HTTPS или ....?
     
     
  • 2.3, Аноним (3), 14:17, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +61 +/
    Им надо делать вид, что всяческие бэкдоры, вшиваемые в процессоры - хоть как-то помогают пользователю.
     
     
  • 3.51, Аноним (51), 18:30, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Комп перестаёт быть персональным... :(
     
     
  • 4.70, Аноним (-), 21:39, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Intel внедряется в мой HTTPS!
     
     
  • 5.75, X86 (ok), 23:14, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    HTTPS не должен быть без контроля. Ишь че удумали.
     
  • 2.4, Аноним (4), 14:19, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Возможно они хотят ввести идентификацию пользователя таким образом. Уникальный номер крипточипа.
     
     
  • 3.16, QwertyReg (ok), 14:47, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Как будто методов идентификации пользователя не 100500.
     
     
  • 4.34, Аноним (34), 15:42, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Как будто ты хоть один знаешь.
     
     
  • 5.39, Аноним (39), 16:08, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Я пароль ввожу =)
     
     
  • 6.92, Аноним (92), 01:25, 29/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты перепутал идентификацию и аутентификацию, слив засчитан ;-)
     
  • 3.99, Аноним (99), 00:12, 30/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Судя по написанному, этот протокол нужен для аутентификации сервера, а клиент считается доверенным. Странный протокол, конечно.
     
  • 2.40, Аноним (40), 16:08, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Тем что HTTPS уже есть и повсеместно используется и залочить его на своих пипизитарных TEE и SGX не получится, вот и придумали надстройку.
     
  • 2.60, Аноним (60), 19:48, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Тем, что не завязан на SGX и не стимулирует продажи интеловских бэкдоров.
     
     
  • 3.94, Аноним (94), 11:52, 29/10/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Тем, что не завязан на SGX и не стимулирует продажи интеловских бэкдоров.

    Чем вы читаете?

    "...Протокол изначально развивается как универсальный и помимо Intel SGX может быть реализован и для других TEE-систем..."

    А выше, перед этим даже перечислено:

    "Изолированные анклавы, создаваемые при помощи таких технологий, как Intel SGX (Software Guard Extension), ARM TrustZone и AMD PSP (Platform Security Processor), дают возможность защитить важные вычисления и снизить риск утечек или изменения конфиденциальной информации на конечном узле."

    Так что бэкдоров там на выбор, не только интеловские.

     
     
  • 4.102, Аноним (102), 16:21, 30/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Он отвечал на «Чем не устроил HTTPS».
     
  • 2.103, Аномистично (?), 11:26, 02/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > а интересно чем не устроил HTTPS или ....?

    Блокировка независимых прошивок и операционных систем.

     

  • 1.2, Аноним (2), 14:17, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    >при помощи таких технологий, как Intel SGX

    лол, сколько там было дыр by-design в этом SGX? Каждый день находят же новые. Отличная попытка встроить бекдор в интернет, но нет.

     
     
  • 2.20, Аноним (20), 14:56, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +9 +/
    если гугл подхватит идею, то будете пользоваться как миленькие ;)
     

  • 1.5, Murloc (?), 14:20, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    а против MitM атак этот протолок устойчив? несли нет то не очень интересно.
     
     
  • 2.18, n00by (ok), 14:48, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    "HTTPA не гарантирует, что производимые в процессе работы web-сервера остальные вычисления, производимые не в TEE, не были скомпрометированы, что требует применения отдельного подхода к разработке web-сервисов".

    Т.е. следующий шаг - засунуть всё в анклав.

     
     
  • 3.24, мое правило (?), 15:12, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Именно, а сам паяльник, ой, анклав, в попу.
     

  • 1.6, Урри (ok), 14:21, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    А не подскажет ли уважаемое коммьюнити, как можно запилить https, который не надо регулярно обслуживать ввиду всяких там истекания сроков ключей? Один раз сделал и забыл на 20 лет?

    У меня есть хелловорлд, которым по rest пользуются полтора землекопа. С тотальным переходом браузеров на http мне пришлось к нему прикрутить ключи, ибо cors и вообще задолбали.
    Чтобы не заморачиваться я прикрутил летсэнкрипт (вручную, через виртуалку, ибо ..л я давать рут аксес чьим-то скриптам на свой сервер). Но этот летсэнкрипт требует регулярного апдейта ключей, с регулярным же доступом под рутом, причем ручной механизм "вот это впиши вот в такой файл и мы заберем его через ваш сервер" они из тулсета выпилили).

    В общем порекомендуйте дубовое решение, надежное как кирпич и требующее столько же мозгов.

     
     
  • 2.9, Аноним (9), 14:34, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Если ты это делаешь для себя, то можешь сделать самоподписанный сертификат и добавить его себе в доверенные.
     
  • 2.10, n80 (?), 14:34, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Доступ под рутом не требуется, строго говоря. Опять же, всяких сторонних реализаций (искать по acme tiny) пруд-пруди, можно найти достаточно простую, которую сможешь прочесть и считать доверенной.

    Самое же дубовое решение — самоподписанный сертификат, который у землекопов добавляется в исключения. Альтернативное решение — не использовать https и заворачивать свои протоколы в VPN или какой-нибудь tcpcrypt. Хотя тут почему-то браузеры упоминаются, так что с этим вариантом облом.

     
  • 2.12, Shura (??), 14:35, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Certbot либо openresty и resty-ssl
     
  • 2.13, Аноним (13), 14:43, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Иггдрасиль
     
  • 2.21, Ananimasss (?), 14:58, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • –5 +/
    >вручную, через виртуалку, ибо ..л я давать рут аксес чьим-то скриптам на свой сервер)

    Во фришечке прекрасно автоматизируется джейлами, удачи выйти за пределы оного.
    В лiнyпс€, думается, шо аналог джейла-то таки шмогли запилить.

     
     
  • 3.31, Аноним (31), 15:36, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    докер тотже джейл только на стеройдах
     
     
  • 4.62, псевдонимус (?), 19:52, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Докер это дерьмо на стероидах. Дырявое изначально. И делалось оно не для изоляции.
     
  • 2.35, Random (??), 15:48, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Виртуалку для одного хоста - избыточно, хотя когда надо было сертификаты для кучи хостов получать, сам делал под это выделенную изолированную VM.
    А для одного - два скрипта в кроне. Один - certbot из-под юзера certbot только обновляет сертификат и никакого самообновления, другой, из-под рута, перезапускает nginx, если сертификат свежее pid'а nginx'а. Вчера был год, как живёт на автомате.
    Но дома сейчас самоподписной, к нему доверия больше.
    Хотя не исключаю, что и домой certbot прикручу.
     
     
  • 3.65, Урри (ok), 20:30, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ага. Этот вариант мне нравится.
    Спасибо.
     
  • 3.90, Аноним (-), 23:29, 28/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Но дома сейчас самоподписной, к нему доверия больше.

    На деле он на столько же надёжен, как и удостоверенный, т.к. приватные ключи обоих генерируются локально и не передаются.

     
  • 2.47, Аноним (47), 16:50, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Один раз сделал и забыл на 20 лет?

    Ну так и было. Просто первые 20 лет уже прошли.

     
  • 2.48, еуые (?), 16:55, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну запусти его в чем-нибудь что будет ограничивать доступ к файлам кроме некоторых (например с помощью https://github.com/netblue30/firejail,  systemd вроде из коробки тоже умеет урезать возможности запущенному процессу).
     
  • 2.52, пох. (?), 18:39, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    полтора землекопа нельзя научить пользоваться специальным браузером и поставить им какой-нибудь древний клон мазилы без идиотии с "сертификат не сертификат" ? После чего выдать себе собственной CA signed (self не поможет от cors) на 20 лет а там либо шах, либо ишак, либо тебя самого съедят негры.

    Ну а если нет - добро пожаловать в клуб пользователей acme-tiny и bypass.no

    Первый позволяет сделать как тебе хочется - вписать вот это в нужный файл самому и самому забрать потом ключ без ненужной автоматизации, а второй позволяет выполнять эту операцию раз в пять месяцев, а не раз в неделю.

     
  • 2.53, Аноним (53), 18:40, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > В общем порекомендуйте дубовое решение, надежное как кирпич

    Создайте свой корневой сертификат, раздайте его всем клиентам.

    > и требующее столько же мозгов.

    С этим хуже. Последовательность не очень сложная, но придётся немного поразбираться.

     
  • 2.63, Alex (??), 20:05, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Баш скрипт автообновления letsencrypt сертификата напиши, чтобы он за 3 дня до истечения его обновлял. И забудь.
    Про 20 лет не знаю, но на одном сервере 6 лет назад настроил скрипт и до сих пор все работает и обновляет раз в 3 месяца.

    Что в скрипте написать?
    Да ровно то, что ты делаешь каждый раз. Мануалов по башу полно.

     
  • 2.66, john_erohin (?), 20:48, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    20 лет - видимо нет.
    за такой срок доломают AES*, SHA* и все бернштейновкие алгоритмы.
     
     
  • 3.72, john_erohin (?), 22:16, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    или вскроются бэкдоры такие, что мы сейчас и понятия не имеем.
     
  • 3.79, Аноним (79), 00:27, 28/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно доломают. Они непостквантовые все. Ну кроме NTRU Prime.
     
  • 2.68, Урри (ok), 21:14, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Большое спасибо всем ответившим.

    Опеннет помогающий!

     
     
  • 3.69, шайтан (?), 21:30, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ...и исцеляющий
     
  • 2.82, Alex (??), 11:23, 28/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Если полтора землекопа из нагрузки и не хочется возиться - попробуй web server caddy
     
     
  • 3.97, Урри (ok), 15:22, 29/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > server caddy

    Звучит очень заманчиво. Спасибо, обязательно гляну.

    [added]
    Мил человек, спасибо! Походу это именно то, что надо.

     
  • 2.86, freehck (ok), 15:31, 28/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А не подскажет ли уважаемое коммьюнити, как можно запилить https, который не надо регулярно обслуживать ввиду всяких там истекания сроков ключей? Один раз сделал и забыл на 20 лет?

    5 лет тут сидишь, и до сих пор PKI не освоил.

    Если тебе нужно просто сделать и забыть надолго (про 20 лет не уверен, но на годик-другой можно точно), то вот тебе дубовое решение, не требующее мозгов: просто пойди и купи сертификат.

    А ерундой с виртуалками заниматься прекращай. Рут LE не нужен, если только ты не используешь standalone. Через webroot челлендж проходи, либо вообще переключись на dns.

     
     
  • 3.96, Урри (ok), 15:21, 29/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Сложна.

    Я ж не веб-программист, в гробу я видел эту всю вебню и занимаюсь ей только если совсем уж припечет (или в целях дальнейшего саморазвития).

     
     
  • 4.98, freehck (ok), 15:23, 29/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Я ж не веб-программист

    Это зона ответственности опсов, к веб-девелоперам отношения не имеет.

     

  • 1.7, Аноним. (?), 14:32, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Нужно больше http. Чтобы оно вообще всё загнулось и макаки наклепали всякого Г
     
  • 1.8, Аноним (9), 14:33, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Это те самые анклавы, в которых дырень недавно нашли?
     
     
  • 2.14, Аноним (13), 14:43, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Да.
     

  • 1.11, Аноним (-), 14:35, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –9 +/
    Люто плюсую! httpa нужен.
     
     
  • 2.17, Аноним (17), 14:47, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • –11 +/
    Единственный пока адекватный комментарий
     
  • 2.32, kissmyass (?), 15:37, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    вот мы и нашли одного того, кто плюсанул

    Ты серьезно? зависимость от третьего лица есть в любом случае, как и с CA, SGX ровным счетом ничего не решает, более того выполняется в среде тебе не подконтрольной, так еще бугагага дырявой,
    зато всем резко понадобится новый кирпич от интел.

    это у тебя монитор жиром заплыл? или реально такой наивный?

     
  • 2.41, Аноним (41), 16:10, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > нужен

    Смотреть котиков в интернете на распоследнем core i-100500K под windows11?

     
  • 2.89, uis (ok), 21:13, 28/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Привет, ржаволюб
     

  • 1.15, anonymous (??), 14:44, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Опять сквозной DRM прикрутить хотят к интернету.
     
  • 1.19, Аноним (19), 14:49, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Слушайте, а классно. Сейчас же некоторые службы обязывают некоторые сервисы дампить сессионные ключи. Также некоторые службы запрещают выдавать сам факт их вмешательства, даже посредством "свидетельства канарейки". А тут штука, с помощью которой я говорю "у меня работает вот этот неизменённый код" (из, например, пакетов дебиана), и никто уже незамеченным в него не залезет.
     
     
  • 2.61, Аноним (60), 19:50, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Есть нюанс. Интел и его "доверенные лица" могут залезть по определению.
     
  • 2.100, Аноним (99), 00:15, 30/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Только этот "неизмененный код" не может быть из пакетов Debian: апплеты TEE поставляет производитель прошивки, а анклавы Intel SGX непубличны (вы пишете их сами, их подписывает Intel).
     

  • 1.22, Аноним (22), 15:05, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Надеюсь, они додумаются добавить поддержку протоколов TLS по ГОСТу
     
     
  • 2.38, Иноагент (?), 15:55, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если не додумаются сами, им подскажут!
     

  • 1.23, dimez (?), 15:08, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Ох, шикарно как.
    Интель под предлогом бОльшей секурности лезет в https со своими дыренями.
    Надеюсь, их разработка так и останется в столе.
     
     
  • 2.27, Аноним (27), 15:18, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Как буд-то без intel их там нет. Весь http(s) одна большая фракталова дырень.
     

  • 1.25, Аноним (25), 15:13, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Хрень какая-то. Эльбрусы вот безопасны, а этот мусор только зря всем перед носом будет мелькать. Хотя пусть спецы проверят. Только сомневаюсь, что аппарату УЗИ нужна такая функция.
     
     
  • 2.29, Аноним (27), 15:19, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Эльбрусы вот безопасны

    Как раст? :D

     
     
  • 3.42, Аноним (39), 16:10, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вот сделали вам unsafe вы теперь куражитесь
    Так же и в Эльбрусах сделали вам поддержку вин-разных приложений и тоже крчите

    Отключите unsafe и эмуляцию windows и провод от интернетов и все будет отлично

     
     
  • 4.77, Аноним (25), 00:16, 28/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Самый прикол будет когда под линуксом в wine в защищенном режиме на Эльбрус не будет работать вирусня несмотря на аппаратную поддержку х86 инструкций.
    И незачем провод отключать. Зачем так радикально то? Он же думал подколол с растом, а там и правда другая архитектура и на нее так просто не повоздействуешь.
     
  • 2.30, Аноним (30), 15:20, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ну да, Эльбрусы безопасны. Их никто вживую не видел.
     
     
  • 3.58, пох. (?), 19:06, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я видел. Хотя, не, те что я видел точно-точно ель-брусы, были неживые.

    В целом да, опастная штука.

     

  • 1.33, Смузихлёб (?), 15:39, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    HTTPS не нужен, а тут ещё очередная порция анальных зондов. Жили же нормально до 2010 года без этой хипстерской тряхомудии.
     
     
  • 2.74, tipa_admin (?), 23:01, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Тю, ты это моему провайдеру скажи, который любит всякий спам в http пихать. До https ещё, падла, не добрался, нет у него сертификата всевластья.
     

  • 1.36, kai3341 (ok), 15:49, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Оно себя найдёт где-нибудь в финтехе. И может даже стать стандартом
     
  • 1.37, ryoken (ok), 15:50, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >> Изолированные анклавы, создаваемые при помощи таких технологий, как Intel SGX (Software Guard Extension), ARM TrustZone и AMD PSP (Platform Security Processor), дают возможность защитить важные вычисления и снизить риск утечек или изменения конфиденциальной информации на конечном узле.

    "Громкий смех в зале, переходящий в гомерический хохот в связи с недавними пробоями SGX". :D

     
  • 1.43, Аноним (43), 16:13, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Развивают свое дырявое шерето?
     
  • 1.50, Аноним (50), 17:57, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Нафига отдельный запрос?

    Посылай все attest и preflight коды как Header сразу в первом же GET. Если сервер поддерживает -- вернёт по формату, а нет -- проигнорирует.
    Точно так же как сейчас посылается Accept-Encoding.

     
  • 1.54, Аноним (-), 18:42, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Крутая идея. Защитим WEB от атак с помощью SGX! Ага, осталось только само SGX от атак защищить...

    https://www.opennet.ru/opennews/art.shtml?num=56008

    Лол. И так каждый месяц. И так по кругу... А сколько ещё прекрасных уязвимостей и бэкдоров в процах не раскрыто. Уууууу...

     
  • 1.55, Аноним (-), 18:56, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    прекрасная идея, выдача сертификатов по паспорту, всем неугодным отозвать сертификаты, кажется это уже есть в андроиде, называется отсутствие root, безопасности не помогает совсем.
     
  • 1.56, Аноним (56), 19:03, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Как пихнуть пехепе/руби/дотнет/питон/что-то ещё в этот sgx? Если поимеют сервер и заменят эти скрипты, которые будут пихаться в sgx, то как sgx поймёт что всё ок?
    Выглядит полной хернёй, под которую надо всё переписать на том, что интел даст (интел C компилер?)
     
     
  • 2.64, Аноним (51), 20:10, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > как sgx поймёт что всё ок?

    Бинго! Вот в чём вопрос оказался: как отличить хакера от админа...

     
  • 2.84, vitalif (ok), 12:53, 28/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Никак, оно туда и не влезет)
     

  • 1.57, Ольбертович (?), 19:05, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Лучше б выпустили i3-10350k вместо этого(
     
     
  • 2.83, Аноним (13), 12:32, 28/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А так ли он нужен при наличии Intel Core i9-10900F?
     
     
  • 3.93, Ольбертович (?), 11:08, 29/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    нужон, ибо ценник.
    но согласен, сейчас и 10105f, например, очень хорош
     

  • 1.59, Аноним (60), 19:47, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >HTTPA позволяет гарантировать целостность обработки запроса пользователя на сервере и убедиться в том, что web-сервис заслуживает доверия и работающий в TEE-окружении (Trusted Execution Environment)

    Не нужны нам сервисы, гарантирующие, что в них есть бэкдор производителя.

     
  • 1.67, Kuromi (ok), 20:59, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Intel в своем духе. Чтоб ни делали - все превращается в DRM или наглое пропихивание собственных закрытых разработок в стандарты. Сначала они совместно с Microsoft пихают Secure Boot в UEFI (и вообще пропихивают UEFI всюду), затем TPM, свои кастомные SGX расширения для процессорных инструкций, а теперь решили внедрить DRM прямо в HTTP.

    Видно куда это все идет, Микрософт вон уже требует TPM для свих новых ОС, потом Secure Boot станет обязательным и вдруг окажется что все залочено а всех уровнях.

     
  • 1.71, lucentcode (ok), 21:58, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не взлетит. Усложняют то, что должно оставаться простым, увеличивают количество этапов установления защищённого подключения. Такое себе удовольствие, минусы видны сразу, а вменяемых аргументов в пользу внедрения такого протокола я лично не вижу.
     
     
  • 2.73, Аноним (79), 22:31, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Взлетит Тебя просто обяжут это использовать Государство, для доступа к госуслу... большой текст свёрнут, показать
     
     
  • 3.76, Аноним (51), 23:27, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Такое насилие приведёт к расколу интернета на части. Что неудивительно, ведь Штаты - первые вышли из сетевой нейтральности.
     
     
  • 4.78, Аноним (79), 00:25, 28/10/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да, приведёт. Будет интернет для всякого быдла и локалхост для небыдла.
     
  • 3.85, vitalif (ok), 12:55, 28/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Обязывалка треснет
     
     
  • 4.95, Аноним (95), 14:04, 29/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Что же до сих пор не треснула?
     
     
  • 5.105, Аномистично (?), 11:36, 02/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    QR код пойди выпиши без неё... Уже здесь всё в реале.
     
  • 2.101, Аноним (99), 00:16, 30/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Оно и не должно "взлететь" -- это похоже на протокол для очень узкого круга задач.
     

  • 1.81, Аноним (-), 07:54, 28/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Товарищу майору не нравится. Протокол годный. Пусть взлетит.
     
     
  • 2.87, Аноним (51), 16:29, 28/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Протокол годный

    Первый транс-адмирал одобряет :)

     

  • 1.88, uis (ok), 21:10, 28/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И всё это для безопасности детей и небоскрёбов. Такое применимое в хозяйстве.
    Теперь надо придумать зачем пользователю работать с сервером работающим именно в sgx, и что это ему даст.
     
     
  • 2.104, Аномистично (?), 11:34, 02/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > надо придумать

    Вроде, конкретно в этом-то уже нужды и нет. Мотив - блёсткий, сервиса Гомеров написаны. Придумано.

     

  • 1.91, Аноним (91), 01:23, 29/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    дырявый штеуд на дырявых процах с дырявым sgx предлагает новый протокол ? дай угадаю - он будет таким же
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру