Dos ingenieros de Intel, Gordon King y Hans Wang, han hecho una propuesta para reforzar el protocolo HTTPS mediante la verificación de la presencia de cifrado.
De ahí la adicción de la letra A: HTTPS Attestable -> Atestable que en el caso que nos ocupa vendría a significar -> Verificable.
Su punto de partida es el siguiente:
HTTPS no puede proporcionar garantías de seguridad sobre los datos solicitados en el cómputo, por lo que el entorno informático sigue teniendo riesgos y vulnerabilidades inciertos.
HTTPS se usa ampliamente para proteger las solicitudes en el envío de datos, pero los datos del usuario pueden estar en riesgo, es decir, una violación de datos si el código de procesamiento no está completamente aislado de todo lo demás, incluido el sistema operativo en la máquina host.
Su solución plantea que la atestación (verificación) HTTPS entre dispositivos puede ayudar a prevenir problemas, ya que los sistemas podrán “verificar” el estado protegido. Para ello proponen que la solución completa ha de implicar hardware, firmware y software.
Con tal atestación basada en hardware, un atacante no podrá acceder a la información incluso si obtiene privilegios elevados para acceder al canal seguro.
Dentro de la propia certificación HTTPA han propuesto dos métodos diferentes:
- HTTPA unidireccional, donde el cliente valida el servidor
- HTTPA mutuo (mHTTPA), donde el cliente y el servidor se verifican entre sí.
Respecto al impacto que podría tener la implementación de HTTPA en tiempo real, han comentado que, al tratarse simplemente de certificar el HTTPS existente, debería ser mínima o prácticamente inexistente.
Por su parte, al tratarse de una propuesta que implica elementos hardware, no han tardado en salir comentarios valorando que parece tratarse de otra ocurrencia de Intel para demandar nueva actualización del SOC.
Por el momento no han dado fechas sobre si piensan solicitar su tramitación como RFC dado que están consultando el tema con el propio departamento jurídico de INTEL.
Información extraída de: