Padrões Certificados PKI para IIoT

pki

Desde seus primórdios, a Infra-estrutura de Chave Pública (PKI) protegeu nossa economia baseada na Internet. Desde a simples navegação na web até o complicado comércio eletrônico, a PKI garantiu transações na Internet em escala global, como “o pilar da confiança”.

Mas e a internet de amanhã?

Confiança e integridade são os princípios básicos de uma Internet segura

Até agora, as transações na Internet empregavam um modelo cliente-servidor, no qual os usuários se comunicavam principalmente com os servidores da web. Na Internet das Coisas (IoT), esse modelo cliente-servidor é amplamente distribuído, em que os dispositivos se comunicam com outros dispositivos (máquina-a-máquina ou M2M - machine-to-machine) e com os servidores em nuvem (máquina-em-nuvem ou M2C - machine-to-cloud) sem intervenção humana.

Quando os dispositivos se comunicam de forma autônoma, o valor e o risco estão diretamente relacionados ao grau de confiança que atribuímos a eles. Nesse sentido, a confiança sustenta as enormes promessas econômicas e sociais da IoT em escala industrial (conhecidas como IoT Industrial ou IIoT). A confiança atribuída a um dispositivo determina a integridade dos dados que ele se comunica. Imagine o impacto das bombas de insulina ou marcapassos contando com dados de fontes falsas. Garantir a confiança é, portanto, ainda mais importante para garantir a IoT. A questão é, como um padrão aberto testado e comprovado, até que ponto a PKI pode ajudar?

Segurança em IIoT e certificados PKI

Nas comunicações M2M, os dispositivos devem se autenticar mutuamente. Isso pode ser feito de várias maneiras.

  • Autenticação com senha - devido ao tempo para chegar ao mercado, custo e outras pressões, os fabricantes de IoT geralmente implementam a opção mais simples, a saber, nome de usuário com senhas padrão. As senhas são amplamente usadas em aplicativos cliente-servidor. Embora essa opção seja a mais fácil de implementar, a autenticação baseada em senha é muito simples para combater o sofisma dos hackers de hoje. Além disso, a autenticação de senha pode ser uma opção menos adequada devido à natureza autônoma dos cenários M2M. As violações de segurança em que os dispositivos da IoT foram comprometidos para criar botnets da IoT exploraram esse mesmo fato.
  • Autenticação com chave criptografada - Muitos dispositivos incorporados usam autenticação baseada em chave criptografada, na qual as chaves são usadas como segredos. As chaves criptografadas são mais complexas e mais fortes que as senhas. No entanto, as chaves não são atestadas e podem ser falsificadas e violadas, especialmente quando os dispositivos estão vulneráveis ​​ao acesso físico, o que é muito comum nos casos de uso da IoT.
  • Certificados digitais PKI - Os certificados digitais PKI avançam algumas etapas para estabelecer confiança. A autenticação baseada em certificado na PKI usa a criptografia de chave pública, na qual a chave pública é assinada por uma autoridade de certificação confiável.

Devido ao seu modelo de confiança robusto, grande parte da comunidade de segurança hoje está caminhando em direção à PKI para proteger a IIoT. No entanto, os certificados PKI consomem bastante recursos, o que é uma preocupação para dispositivos IIoT com recursos limitados. A emissão, o gerenciamento e a revogação de certificados também são uma preocupação em cenários de IIoT altamente dimensionados e autônomos.

A pressão é alta para inovar e evoluir a PKI tradicional para se adaptar à enorme escala e diversidade de dispositivos, dados e conexões na IIoT. A evolução deve abordar os padrões de certificado PKI e o gerenciamento do ciclo de vida do certificado.

Certificados ITU-T X.509

X.509 é o padrão de certificado PKI mais usado. Os certificados X.509 usam um formato hierárquico para incorporar as informações necessárias para certificar a máquina. Cada certificado possui um campo para o período de validade e a chave pública associada emitida pela CA.

Devido à sua grande popularidade, o padrão X.509 está passando por uma rápida adoção entre fabricantes de dispositivos e plataformas de IoT. Alguns fabricantes de dispositivos instalam o par de chaves pública / privada, certificado e assinado pelo fabricante. Quando vários fornecedores da cadeia de suprimentos - por exemplo, fabricantes de chipsets, OEMs e proprietários de dispositivos - adicionam seus respectivos certificados assinados, a cadeia de confiança resultante melhora drasticamente a integridade e a autenticidade do dispositivo.

A robusta integridade dos certificados X.509 tem o custo de seu tamanho, o que é uma grande desvantagem para dispositivos IIoT com puco espaço de memória e baixo processamento, como sensores, microcontroladores, etc. A menos que exista armazenamento adequado para as chaves criptografadas, energia e CPU suficientes, implementar os certificados X.509 pode representar um desafio.

Certificados IEEE 1609.2 para IIoT

O certificado IEEE 1609.2 é um padrão emergente para atender aos requisitos exclusivos da IIoT. O certificado 1609.2 tem metade do tamanho de X.509. Usando algoritmos de curva elíptica (ECC), o IEEE 1609.2 reduz a sobrecarga computacional sem sacrificar a força criptográfica.

No momento, o padrão 1609.2 é liderado principalmente pelo Departamento de Transportes dos EUA (USDOT) para criar um modelo de confiança para seu programa de veículos conectados. Ele aborda várias restrições específicas para veículos (terminais móveis) em ambientes congestionados e de baixa largura de banda.

Os certificados IEEE 1609.2 suportam encadeamento confiável de certificados e distribuição de certificados ponto a ponto, relevantes para o veículo conectado a tudo (V2X) - que inclui veículo-a-veículo (V2V), veículo-a-infraestrutura (V2I) , etc. - comunicações. Para cenários M2M em geral, envolvendo transferências de dados um para muitos e muitos para um, os certificados 1609.2 são úteis. Mas, eles não são adequados para sessões de segurança persistentes.

Pensamentos finais

Como a Internet pública e os aplicativos de TI corporativos usam autenticação de servidor, a PKI foi originalmente projetada para emitir certificados apenas para os servidores da Web. O número de certificados necessários era menor e as autoridades de certificação eram apenas algumas.

Na IIoT, esse esquema PKI herdado foi totalmente interrompido. Para impedir comunicações não autorizadas com pontos de extremidade não autorizados, os pontos de extremidade do dispositivo de comunicação devem se autenticar. Embora os certificados possam fornecer uma maneira robusta de autenticação mútua, ele exige que cada dispositivo tenha seu próprio certificado. À medida que o número de dispositivos de IoT aumenta para milhões, o mesmo acontece com o número de certificados. Portanto, o provisionamento e o gerenciamento manuais de certificados de PKI herdada não podem ser dimensionados para a IIoT. Recentemente, estão surgindo muitas maneiras de gerenciamento de certificados para facilitar a complexidade da adoção da PKI.

No entanto, seja para projetar um chip, placa eletrônica ou dispositivo, quando se trata do modelo de confiança, não podemos ignorar a PKI. Como uma estrutura de confiança interoperável e bem estabelecida, nosso foco deve ser resolver as deficiências dos certificados PKI em vez de ignorá-los completamente.

Pontos chave

  1. Como uma tecnologia testada e comprovada, grande parte da comunidade de segurança hoje está caminhando em direção à PKI para proteger a IoT Industrial (IIoT).
  2. Os padrões de certificado PKI e seu gerenciamento apresentam vários desafios nos ambientes de IoT.
  3. Além dos certificados X.509, o padrão IEEE 1609.2 PKI está sendo desenvolvido especificamente para casos de uso da IIoT.
  4. Recentemente, estão surgindo muitas maneiras de gerenciamento de certificados para facilitar a complexidade da adoção da PKI nos casos de uso da IIoT.

Para artigos como esse, acesse o link.

Artigo escrito originalmente por Sravani Bhattacharjee para Mouser Electronics: PKI Certificate Standards for IIoT

Traduzido por Equipe Embarcados.

Licença Creative Commons Esta obra está licenciada com uma Licença Creative Commons Atribuição-CompartilhaIgual 4.0 Internacional.

Receba os melhores conteúdos sobre sistemas eletrônicos embarcados, dicas, tutoriais e promoções.

Internet Das Coisas » Padrões Certificados PKI para IIoT
Talvez você goste:
Comentários:

Deixe um comentário

avatar
  Notificações  
Notificar

Séries

Menu