Исследователи из группы децентрализованной информации (Decentralized Information Group, DIG) в Массачусетском технологическом институте разработали новый протокол, который они назвали HTTPA, что означает “HTTP with Accountability”, то есть HTTP с отчётностью.
Протокол спроектирован с целью решить некоторые проблемы информационной безопасности в Сети, а именно — обеспечить автоматический мониторинг передачи приватных данных и возможность управления этой передачей.
Каждый объект с приватными данными в HTTPA получает собственный уникальный идентификатор (URI). Каждый раз, когда сервер передаёт фрагмент информации с этого URI, он предварительно осуществляет верификацию клиента, а вместе с данными отправляет список ограничений на их использование, после чего сохраняет запись о совершённой транзакции на серверах с криптографической защитой (серверы аудита).
Главная инновация HTTPA затрагивает два элемента: автоматическую передачу списка ограничений и запись в логи. Администратор защищённой системы (PETS) может в любой момент проверить список всех, кто запрашивал информацию, кому она передавалась и с какой целью. Предполагается, что серверы аудита будут объединены в P2P-сеть с перекрёстной проверкой транзакций, примерно как работают серверы в сети Bitcoin, поддерживающие запись цепочки транзакций.
Научную работу с описанием HTTPA обсудят на конференции IEEE по приватности и безопасности в июле этого года. Там же покажут и экспериментальные примеры использования HTTPA, в частности, для защиты баз данных с медицинскими записями граждан. Реализовать HTTPA можно на любом сайте без особых проблем.
