Overview

API Navigazione sicura Oblivious HTTP Gateway

Nota: questa documentazione è ancora in fase di sviluppo. Aspettati miglioramenti nel prossimo futuro.

L'API Gateway Oblivious HTTP di Navigazione sicura è un'API che tutela la privacy basata sul protocollo RFC IETF e denominata Oblivious HTTP, RFC 9458.

Panoramica

L'API Gateway HTTP Oblivious di Navigazione sicura è un servizio di Google che consente alle applicazioni client di controllare gli URL rispetto agli elenchi costantemente aggiornati di Google relativi a risorse web non sicure con protezioni della privacy aggiuntive attive.

Ciò è possibile grazie a un protocollo leggero chiamato Oblivious HTTP o OHTTP in breve. Si tratta di un protocollo stateless che può essere utilizzato dai client di Navigazione sicura per accedere alle API Google Navigazione sicura V5 al fine di ottenere protezioni solide e una maggiore copertura senza compromettere l'esperienza utente privacy.

NOTA: non è possibile accedere alle API Google Navigazione sicura V4 tramite questo servizio.

Protocollo HTTP Oblivious di Navigazione sicura

Protocollo RFC

Oblivious HTTP è un protocollo leggero definito in RFC 9458, utilizzato per criptare e inviare messaggi HTTP da un client a un server di destinazione. Questo utilizza un servizio di inoltro attendibile in modo da ridurre al minimo l'utilizzo da parte del server di destinazione di metadati quali l'indirizzo IP e le informazioni di connessione per l'identificazione del client, garantendo privacy e sicurezza in aggiunta al semplice protocollo HTTP/S. Il protocollo utilizza HTTP binario, definito in RFC 9292, per codificare/decodificare richieste/risposte HTTP.

A livello generale, un inoltro si trova tra la risorsa client e gateway che esegue il proxy del traffico client rimuovendo tutti gli identificatori client, inclusi gli attributi sensibili alla privacy come gli indirizzi IP, anonimizzando efficacemente le richieste HTTP in entrata al servizio Gateway. Il vantaggio aggiuntivo di OHTTP è che tutte le richieste sono protette con crittografia end-to-end, il che significa che i client Le query di Navigazione sicura (ad es. hash troncati di espressioni URL) non sono visibili all'inoltro. Fai riferimento al blogpost per un'implementazione di esempio in Chrome.

L'architettura complessiva del servizio.
Fig: flusso OHTTP.

I client possono scegliere qualsiasi provider di inoltro (ad es. Fastly) per l'integrazione con il servizio. Il inoltro deve utilizzare l'autenticazione Oauth 2.0 con il seguente ambito di autorizzazione per poter accedere al servizio.


// OAuth Authorization scope:
https://www.googleapis.com/auth/3p-relay-safe-browsing
Endpoint API
Chiave pubblica OHTTP

Questo endpoint fornirà la configurazione della chiave pubblica OHTTP come specificato in RFC 9458, che verrà utilizzata dal client per criptare la richiesta OHTTP.


GET https://safebrowsingohttpgateway.googleapis.com/v1/ohttp/hpkekeyconfig?key=<API key>

La chiave API indicata sopra non è strettamente necessaria; Il server non varia la chiave pubblica OHTTP in base alla chiave API fornita. I client possono verificare questo fatto utilizzando diverse chiavi API valide per accedere a questo endpoint o non utilizzando del tutto chiavi API e controllando che la risposta contenga effettivamente la stessa chiave pubblica OHTTP. Tuttavia, per facilitare il debug, si consiglia una chiave API. Ciò consente ai client di visualizzare statistiche come il numero di richieste nella console Google Cloud. Se il client intende fornire una chiave API, consulta questa documentazione su come configurare le chiavi API.

Come indicato nella sezione Consigli sulla privacy, per raggiungere gli obiettivi di coerenza delle chiavi, si consiglia ai fornitori di client di configurare un'infrastruttura di distribuzione centralizzata delle chiavi per recuperare la chiave da questo endpoint e distribuirla successivamente nelle loro applicazioni client.

Secondo le indicazioni per la gestione delle chiavi, le chiavi vengono ruotate regolarmente sul server. I client dovrebbero aggiornare la chiave, ovvero recuperare e aggiornare di tanto in tanto la copia locale della chiave per evitare errori di decriptazione.

I client devono aggiornare (recuperare e aggiornare) la chiave pubblica una volta al giorno. Se viene utilizzato un meccanismo di distribuzione centralizzato, questo meccanismo deve assicurarsi di recuperare e distribuire le chiavi una volta al giorno.

Richiesta incapsulata OHTTP

Questo endpoint gestirà la richiesta OHTTP inclusa nel corpo HTTP della richiesta POST eseguendo la decrittografia della richiesta, quindi cripta la risposta OHTTP da inoltrarla al Relay nella risposta HTTP. Il client deve includere l'intestazione della richiesta Content-Type come message/ohttp-req nella richiesta POST HTTP.


POST https://safebrowsingohttpgateway.googleapis.com/v1/ohttp:handleOhttpEncapsulatedRequest?key=<API key>

NOTA:in base alle indicazioni sulla RFC, codifica la richiesta interna (consulta la documentazione V5 per informazioni su come creare una richiesta di Navigazione sicura) utilizzando il protocollo HTTP binario, RFC 9292.

Librerie client

Google Quiche offre implementazioni lato client per i protocolli OHTTP e BHTTP. Consigliamo ai client di utilizzare queste librerie. Fai riferimento di seguito allo pseudo-codice su come creare richieste OHTTP per accedere all'API.

Esempio di implementazione lato client

I client recuperano la chiave pubblica HTTP Oblivious dall'endpoint della chiave pubblica. Successivamente, inizializza la configurazione della chiave OHTTP della quiche in questo modo e inizializza il client OHTTP della quiche.


        auto ohttp_key_cfgs = quiche::ObliviousHttpKeyConfigs::ParseConcatenatedKeys(std::string public_key);
        auto key_config = ohttp_key_cfgs->PreferredConfig();
        auto public_key = ohttp_key_cfgs->GetPublicKeyForId(key_config.GetKeyId())
        auto ohttp_client = quiche::ObliviousHttpClient::Create(public_key, key_config);

Il client utilizzerà la codifica HTTP binaria per creare una richiesta BHTTP come primo passaggio prima della crittografia.


    quiche::BinaryHttpRequest::ControlData bhttp_ctrl_data{
      .method = "POST",
      .scheme = "https",
      .authority = "safebrowsing.googleapis.com",
      .path = "/v5/hashes:search?key=<API key>&hashPrefixes=<HASH prefix 1>&hashPrefixes=<HASH prefix 2>",
    };
    quiche::BinaryHttpRequest bhttp_request(bhttp_ctrl_data);

Successivamente, il client cripterà la richiesta HTTP binaria creata nel passaggio precedente.


      auto bhttp_serialized = bhttp_request.Serialize();
      auto ohttp_request = ohttp_client.CreateObliviousHttpRequest(*bhttp_serialized);
      //  Client must include this in POST body, and add `Content-Type` header as "message/ohttp-req".
      auto payload_include_in_post_body = ohttp_request.EncapsulateAndSerialize();

Una volta ricevuta la risposta dal Relay, il client la decripta. La risposta includerà l'intestazione della risposta Content-Type come ohttp-res.


      auto ctx = std::move(ohttp_request).ReleaseContext();
      auto ohttp_response = ohttp_client.DecryptObliviousHttpResponse("data included in body of http_response", ctx);

Dopo aver decriptato correttamente la risposta OHTTP, decodifica l'output utilizzando HTTP binario, in questo modo.


      auto bhttp_response = BinaryHttpResponse::Create(ohttp_response.GetPlaintextData());
      if (bhttp_response.status_code() == 200) {
        auto http_response = bhttp_response.body();
        auto response_headers = bhttp_response.GetHeaderFields();
      }