IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Vous avez entendu parler de HTTPS. Découvrez maintenant HTTPA : des services Web dans des environnements de co


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Bruno
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    mai 2019
    Messages
    483
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : mai 2019
    Messages : 483
    Points : 8 363
    Points
    8 363
    Par défaut Vous avez entendu parler de HTTPS. Découvrez maintenant HTTPA : des services Web dans des environnements de co
    Vous avez entendu parler de HTTPS. Découvrez maintenant HTTPA : des services Web dans des environnements de confiance,
    avec Intel SGX, un outil qui fournit le chiffrement en mémoire pour aider à protéger le calcul en cours d'exécution

    Le protocole HTTPS (Hypertext Transfer Protocol Secure) est actuellement le principal protocole pour les applications web. Il peut fournir une connexion rapide et sécurisée avec un certain niveau de confidentialité et d'intégrité. Toutefois, HTTPS ne peut pas fournir de garanties de sécurité sur les données de la requête dans le calcul, de sorte que l'environnement informatique présente des risques et vulnérabilités. Deux employés d'Intel pensent que les services web peuvent être rendus plus sûrs non seulement en effectuant des calculs dans des environnements d'exécution de confiance à distance, ou TEE, mais aussi en vérifiant pour les clients que cela a été fait.

    Gordon King, ingénieur logiciel, et Hans Wang, chercheur aux Intel Labs, ont proposé un protocole pour rendre cela possible. Dans un article intitulé : « HTTPA : HTTPS Attestable Protocol », diffusé ce mois-ci sur ArXiv, ils décrivent un protocole HTTP appelé HTTPS Attestable (HTTPA) pour renforcer la sécurité en ligne grâce à l'attestation à distance. Un moyen pour les applications d'obtenir l'assurance que les données seront traitées par des logiciels de confiance dans des environnements d'exécution sécurisés. Un environnement d'exécution de confiance (TEE) basé sur le matériel, tel qu'Intel Software Guard Extension (Intel SGX), peut être utilisé.

    Etant donné qu’Intel Software Guard Extension (Intel SGX) fournit un chiffrement en mémoire pour aider à protéger le calcul en cours d'exécution afin de réduire les risques de fuite ou de modification illégale d'informations privées. Le concept central de SGX permet au calcul de s'effectuer à l'intérieur de l'enclave, environnement protégé qui chiffre les codes et les données relatifs à un calcul sensible sur le plan de la sécurité.

    Nom : sgx.png
Affichages : 78409
Taille : 7,9 Ko

    En outre, le SGX fournit des garanties de sécurité par le biais d'une attestation à distance pour le client Web, y compris l'identité du fournisseur et l'identité de vérification. « Nous proposons ici un protocole http HTTPS Attestable (HTTPA), en incluant le processus d'attestation à distance dans le protocole HTTPS pour répondre aux problèmes de confidentialité et de sécurité », déclare Intel.

    On espère essentiellement que les applications pourront vérifier, par le biais de certificats et de la cryptographie, que le code exécuté dans un TEE côté serveur est précisément le code attendu, non modifié par un administrateur véreux, un système d'exploitation ou un hyperviseur détourné, un intrus dans le réseau ou un logiciel malveillant. Idéalement, le TEE devrait empêcher ou détecter les mécréants de fouiner dans le code et les données ou de les modifier.

    Le modèle de menace est fragile et comporte de nombreuses exigences et mises en garde. Si tout se met en place, « HTTPA fournit une assurance pour confirmer que les charges de travail du client s'exécuteront à l'intérieur de l'enclave prévue avec le logiciel vérifié », indiquent le duo d’ingénieurs.

    « Avec HTTPA, nous pouvons fournir des garanties de sécurité pour établir la fiabilité des services Web et assurer l'intégrité du traitement des demandes pour les utilisateurs Web , indiquent King et Wang. Nous pensons que l'attestation à distance deviendra une nouvelle tendance adoptée pour réduire les risques de sécurité des services web, et nous proposons le protocole HTTPA pour unifier l'attestation web et l'accès aux services d'une manière standard et efficace. »

    Les services logiciels, affirment les experts, peuvent être détournés par des intrus sur le réseau, par exemple, et n'offrent aucune garantie réelle quant à l'intégrité des charges de travail informatiques ou des canaux de communication. Selon eux, HTTPS seul n'est pas à la hauteur du défi, mais HTTPA peut peut-être faire mieux.
    Protocole HTTPS Attestable (HTTPA).

    Protocole HTTPS Attestable (HTTPA)

    HTTP standard sur TLS

    Rappelons que l'objectif principal de TLS est de protéger les données des applications Web contre la divulgation et la modification non autorisées lorsqu'elles sont transmises entre le client et le serveur. Le modèle de sécurité HTTPS/TLS utilise un "certificat" pour garantir l'authenticité. Le certificat est "signé" de manière cryptographique par une autorité de certification (CA) de confiance. Il s'agit de la pratique standard actuelle pour la communication sur Internet.

    Nom : HTTPA1.png
Affichages : 5133
Taille : 21,5 Ko
    Une vue d'ensemble du processus de poignée de main standard HTTPS (HTTP over TLS).


    Avec HTTPS, le protocole de communication est chiffré en utilisant TLS. Il fournit l'authentification du serveur au client ainsi que des garanties d'intégrité, mais il n'offre aucun de ces avantages en matière de sécurité aux données qui se trouvent dans les ordinateurs et au repos. Par conséquent, les codes de traitement des demandes s'exécutant dans un environnement non fiable.

    Attestation sur HTTPS (HTTPSA)

    La technologie Intel SGX est conçue pour fournir un TEE basé sur le matériel afin de réduire la TCB et de protéger les données privées dans le calcul. Une base de calcul de confiance (TCB) plus petite implique la réduction de plus de risques de sécurité, car elle réduit l'exposition à diverses attaques et la surface de vulnérabilité. En outre, il peut utiliser un service d'attestation pour établir un canal de confiance. Avec un TEE matériel, le mécanisme d'attestation peut aider à vérifier rigoureusement l'intégrité, la confidentialité et l'identité de la TCB.

    Intel utilise l’attestation à distance comme interface de base pour les utilisateurs ou les services Web afin d'établir la confiance comme un canal de confiance sécurisé pour fournir des secrets ou des informations sensibles. Pour atteindre cet objectif, nous ajoutons un nouvel ensemble de méthodes HTTP, y compris la demande/réponse HTTP preflight, la demande/réponse HTTP attest, la demande/réponse HTTP trusted session, pour réaliser l'attestation à distance qui permet aux utilisateurs et aux services Web d'établir une connexion de confiance directement avec le code qui s'exécute.

    Le protocole TLS prend en charge la modification du canal sécurisé existant avec le nouveau certificat du serveur et le paramètre de chiffrement. Cependant, la méthode ne repose pas sur le remplacement du canal sécurisé existant par un canal de confiance. La raison principale est de permettre la création de plusieurs canaux de confiance à l'intérieur d'un seul canal sécurisé TLS. Le processus de poignée de main HTTPA se compose de trois étapes : demande/réponse de contrôle préalable HTTP, demande/réponse d'attestation HTTP et demande/réponse de session de confiance HTTP. La demande/réponse HTTP preflight vérifie si la plateforme est disponible.

    Nom : httpafig5.png
Affichages : 5101
Taille : 16,6 Ko

    Le mécanisme de contrôle préalable profite plutôt aux serveurs qui ont été développés sans connaissance de HTTPA, et il fonctionne comme un contrôle d'intégrité entre le client et le serveur. La demande d'attestation suivante n'est pas une simple demande, pour cela, avoir des demandes de contrôle préalable est une sorte de "protection par la sensibilisation". Demande/réponse d'attestation http peut fournir les fonctionnalités de devis et de vérification de devis. La demande/réponse de session de confiance HTTP peut établir une session de confiance pour protéger les trafics HTTPA dans lesquels seuls les codes TCB vérifiés peuvent voir les données de la demande.

    Modélisation des menaces

    HTTPA est conçu pour fournir des garanties d'attestation à distance et d'informatique confidentielle entre un client et un serveur dans le cas de l'utilisation du Web sur Internet. Dans le cas de HTTPA, nous supposons que le client est digne de confiance et que le serveur ne l'est pas. L'utilisateur client peut vérifier ces assurances pour décider s'il peut faire confiance et exécuter les charges de travail de calcul sur le serveur ou non. Cependant, HTTPA ne fournit pas de garanties pour que le serveur devienne digne de confiance. HTTPA comprend deux parties : la communication et le calcul.

    En ce qui concerne la sécurité de la communication, HTTPA reprend toutes les hypothèses de HTTPS pour la sécurité de la communication, y compris l'utilisation de TLS et communication sécurisée, notamment l'utilisation de TLS et la vérification de l'identité de l'hôte via un certificat. En ce qui concerne la sécurité des calculs, le protocole HTTPA nécessite de fournir un statut d'assurance supplémentaire d'attestation à distance pour les charges de travail informatiques à exécuter à l'intérieur de l'enclave sécurisée, afin que l'utilisateur client puisse exécuter les charges de travail dans une mémoire chiffrée.

    King et Wang ont déclaré : « Nous pensons que HTTPA pourrait être potentiellement bénéfique pour certains secteurs, par exemple les technologies financières et les soins de santé. » À la question de savoir si le protocole pourrait interférer avec les services qui ont des exigences strictes en matière de bande passante ou de latence, ils ont répondu : « une exploration plus approfondie serait nécessaire pour confirmer tout impact sur les performances ; cependant, nous ne prévoyons pas de changement significatif des performances par rapport aux autres protocoles HTTPS. » Quant à savoir si ou quand HTTPA pourrait effectivement être adopté, ce n'est pas clair. À la question de savoir s'il est prévu de soumettre la spécification en tant que RFC ou d'entreprendre une autre forme de normalisation, ils ont répondu : « Nous avons des discussions en cours qui doivent être examinées par l'équipe juridique d'Intel avant de pouvoir adopter HTTPA. »


    Source : Arxiv

    Et vous ?

    Quel est votre avis sur le sujet ?

    Voir aussi :

    Intel se lance dans la bataille des GPU pour PC de jeu avec Arc, sa nouvelle marque de GPU pour jeux

    Intel annonce ses résultats financiers pour le quatrième trimestre et l'année 2020, avec une augmentation de 5 % du dividende trimestriel en liquidités

    Intel lance un processeur Xeon Scalable de troisième génération pour les centres de données sous le nom de code Ice Lake, qui offre jusqu'à 40 cœurs par socket

    Le HEDT a un nouveau maitre : AMD et Intel lancent leurs nouveaux CPU dédiés au HEDT, mais le Core i9-10980XE d'Intel ne ferait pas le poids face aux Threadripper 3970X et 3960X d'AMD
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Membre à l'essai
    Inscrit en
    octobre 2003
    Messages
    3
    Détails du profil
    Informations personnelles :
    Âge : 37

    Informations forums :
    Inscription : octobre 2003
    Messages : 3
    Points : 13
    Points
    13
    Par défaut Le grand retour de Palladium ?
    Au plus vieux dans l'assemblée ça rappellera des souvenirs...

    Tiens ça me rappelle cette saloperie de Palladium, ce truc qui permettra d'interdire le logiciel libre de nos ordinateurs :
    https://fr.wikipedia.org/wiki/Next-g...computing_base

    Après avoir réussi à mettre en place une passoire non désactivable dans tous les ordinateurs Intel :
    https://en.wikipedia.org/wiki/Intel_Management_Engine

    Maintenant ils veulent nous imposer cette merde au niveau web ???

    Bon à relire à ce propos :
    https://www.gnu.org/philosophy/can-you-trust.fr.html

  3. #3
    Membre du Club
    Inscrit en
    avril 2010
    Messages
    36
    Détails du profil
    Informations forums :
    Inscription : avril 2010
    Messages : 36
    Points : 62
    Points
    62
    Par défaut
    En tout cas, l'intérêt semble surtout de fournir à intel un contrôle matériel sur l'utilisation de HTTPS, ca promet rien de bon. En sachant que le protocole HTTPS va être encapsulé dans HTTPA... ca fait un peu sécurisation en poupée russe. Quid ensuite de la licence d'utilisation, de la possibilité de debugger l'utilisation des données transmises ?

  4. #4
    Expert confirmé Avatar de kain_tn
    Homme Profil pro
    Inscrit en
    mars 2005
    Messages
    1 057
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : mars 2005
    Messages : 1 057
    Points : 4 001
    Points
    4 001
    Par défaut
    Citation Envoyé par rapsys Voir le message
    Au plus vieux dans l'assemblée ça rappellera des souvenirs...

    Tiens ça me rappelle cette saloperie de Palladium, ce truc qui permettra d'interdire le logiciel libre de nos ordinateurs :
    https://fr.wikipedia.org/wiki/Next-g...computing_base
    Tiens, c'est exactement ce que j'ai pensé

    D'ailleurs, cette histoire de TPM 2.0 pour le nouveau Windows, c'est dans la même lignée.
    Copier c'est copier; voler c'est vendre un CD une vingtaine d'euros!


    Code C : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    #include <stdio.h>
     
    int main(int argc, char **argv) {
     
        printf("So long, and thanks for the fish, Dennis...\n");
        return 0;
    }

Discussions similaires

  1. Réponses: 539
    Dernier message: 13/09/2021, 12h40
  2. Réponses: 5
    Dernier message: 09/10/2013, 00h20
  3. Réponses: 167
    Dernier message: 22/09/2009, 15h39
  4. Intel vous avez dit Intel
    Par venomelektro dans le forum OpenGL
    Réponses: 7
    Dernier message: 14/10/2004, 20h25

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo