Въведение
От домашни охранителни камери и брави до врати до декодери, термостати, кухненски уреди, медицински устройства и светофари, броят на свързаните с интернет устройства нараства със зашеметяваща скорост от началото на 2000-те. Оценките варират, но според инфографичен публикувано от Intel, IoT, който включва 2 милиарда „интелигентни“ обекта през 2006 г., се очаква да се увеличи стократно до 200 милиарда устройства до 2020 г. За перспектива това е 26 IoT устройства за всеки човек на планетата.
Нуждаете се от сертификат? SSL.com предоставя голямо разнообразие от цифрови сертификати, включително:
Експлозивният растеж на IoT е придружен от сериозни недостатъци в сигурността и нарастващи болки. A Проучване през 2017 г. на приблизително 400 ръководители на ИТ от Altman Vilandrie & Company показва, че почти половината от анкетираните фирми са имали поне едно нарушение на сигурността, свързано с IoT, и че цената на нарушенията представлява „13.4% от общите приходи за по-малките компании и стотици милиони долари за най-големите фирми“.
По-близо до дома за повечето потребители, плашещи новини за уязвими охранителни камери и интелигентните брави са все по-често срещани. На DEF CON 2016, изследователи от Merculite Security подчерта многобройни уязвимости на сигурността в често достъпни интелигентни брави, Включително четири производители, изпращащи брави, използващи пароли с обикновен текст. Всеки, който наблюдава мрежова комуникация с такава ключалка, може лесно да извлече паролата, неприемлива за устройство, предназначено да поддържа семействата, домовете и имуществото в безопасност.
SSL /TLS за IoT
Производителите и продавачите на свързани с интернет интелигентни устройства вече не могат да си позволят да се задоволяват със сигурността, тъй като обществото става все по-зависимо от техните продукти и осъзнава уязвимости. Важна стъпка, която бизнесът на IoT може да предприеме, е да инсталира публично доверен SSL /TLS сертификати за удостоверяване и криптиране на техните устройства.
SSL /TLS протокол използва асиметрично криптиране за защита на данните, споделени между два компютъра в Интернет. В допълнение, SSL /TLS гарантира, че самоличността на сървъра и / или клиента е валидирана. В най-често срещания сценарий HTTPS сървърът предоставя на браузъра на посетителя a сертификат който е подписан дигитално от публично доверено лице Certificate Authority (CA) като SSL.com. Математиката зад SSL /TLS гарантира, че цифрово подписаните сертификати на CA са практически невъзможни за фалшифициране при достатъчно голям размер на ключа. Обществените сертифициращи органи проверяват самоличността на кандидатите, преди да издадат сертификати. Те също са обект на стриктни одити от операторите и доставчиците на уеб браузъри, които да бъдат приети и поддържани в доверителни магазини (списъци с доверени корен сертификати инсталиран със софтуер за браузър и ОС).
Казано по-просто, ако даден уебсайт има сертификат, подписан от публично доверен CA, уеб браузърите и операционните системи могат да се доверят, че собственикът на сайта всъщност е този, за когото се твърди, че е. Потребители, които се опитват да получат достъп до уебсайтове, които представят сертификат, който е не публично доверените ще бъдат посрещнати със строги предупреждения за сигурност и пътни блокади, върху които трябва да се щракне. Същият този основен принцип за удостоверяване чрез сертификати x.509 може да бъде приложен към комуникация по имейл, компютърен коди IoT устройства.
SSL /TLS може да се използва и за удостоверяване клиенти. Например, една компания може да пожелае да разреши достъп само на определени служители до уеб-базирано приложение и чрез издаване на клиентски сертификати на тези служители може да използва сертификатите като идентификационни данни за достъп.
И двата SSL /TLS клиентско и сървърно удостоверяване имат важни последици и употреби за IoT. Повечето от нас са виждали подобни съобщения това преди, когато се опитвате да се свържете с домашен безжичен рутер със самоподписан сертификат:
С публично доверен SSL /TLS сертификати, вашите клиенти никога няма да срещнат подобни съобщения в административния интерфейс на вашето устройство. Връщайки се към горния пример, SSL /TLS сертификатите могат да се използват за значително укрепване на сигурността в тази свързана с интернет „интелигентна“ ключалка на вратата чрез:
- Инсталиране на a публично доверен сървър сертификат в ключалката, така че потребител, свързващ се с неговия уеб-базиран интерфейс, няма да трябва да щраква през предупреждение за сигурност и / или да добавя изключение за сигурност за самоподписан сертификат;
- Изискващи a клиентски сертификат на смартфона на потребителя за достъп до интерфейса на ключалката; и / или
- Шифроването всякаква комуникация между клиента и ключалката или между ключалката и сървърите на нейния доставчик. Няма повече пароли с обикновен текст!
Производителите могат също да инсталират публично доверени клиентски сертификати в своите устройства, за да се удостоверят с доставчици на трети страни. Например, производител на свързани към интернет декодери може да използва SSL /TLS сертификати за взаимно удостоверяване при свързване към стрийминг аудио и видео доставчици.
Проблеми с изпълнението
Една обща загриженост относно интегрирането на Интернет PKI с IoT е идеята, че SSL /TLS е твърде изчислително скъпо за малки устройства с ниска мощност, а за някои по-стари устройства това може да е вярно. Въпреки това, режийните разходи за SSL /TLS протоколът не е непременно толкова важен, когато се измерва спрямо разходите за предаване на данните на първо място, особено с увеличаване на размера на транзакцията. A 2011 проучване на енергията, консумирана от мобилни устройства, използващи TLS показва, че докато SSL /TLS режийните са значителни за много малки транзакции с по-малко от 10KB, „при транзакции по-големи от 500KB енергията, необходима за предаване на действителните данни, явно надхвърля TLS енергия над главата. "
Понастоящем има множество леки изпълнения на TLS наличен протокол, за да отговори на ограниченията на устройства с ниска мощност на IoT. С отворен код TLS Toolkit (по-рано MatrixSSL) може да бъде конфигуриран на кодов отпечатък от само 66KB, а дори по-малки отпечатъци са възможни с ръчна оптимизация. вълкSSL, друг SSL с отворен код /TLS библиотека, рекламира минимален размер на отпечатъка от 20-100KB и използване на паметта по време на работа от 1-36KB. Ясно е, че тези цифри вече са постижими дори за устройство с много скромни спецификации и можем да очакваме да видим по-нататъшна оптимизация на софтуера, съчетана с увеличена мощност на по-ниска цена за вградени устройства.
Как SSL.com може да помогне на производителите на IoT
SSL.com предлага тези услуги от световна класа и предимства на нашите бизнес клиенти в IoT пространството:
- Персонализирани решения: Както експертите по SSL /TLS, SSL.com си сътрудничи с производителите на IoT, за да оптимизира генерирането, инсталирането и жизнения цикъл на сертификатите за техните устройства.
- Подчинен CA: Домакин подчинен СА (известен също като издаване на СО) от SSL.com предлага на производителите пълен контрол върху издаването на публично доверени сертификати за крайни обекти за техните устройства, с малка част от разходите за създаване на собствени root и CA PKI инфраструктура.
- Инструменти за управление: SSL.comИнструментите за онлайн управление позволяват на производителите на устройства лесно да издават големи обеми сертификати и да управляват своя жизнен цикъл.
- API: Производителите на IoT могат да автоматизират издаването на сертификати и жизнения цикъл с SSL.com'с SSL уеб услуги (SWS) API.
- ACME: Управление на жизнените цикли на сертификатите на IoT устройства с персонализиран ACME-активиран издаващ CA, ACME е утвърден стандартен протокол за управление на сертификати с много реализации на клиента с отворен код.
Тъй като броят на IoT устройствата се увеличава експоненциално, SSL.com разполага с всички инструменти и опит, необходими за подпомагане на производителите и доставчиците да управляват инсталацията и жизнения цикъл на публично надеждни сертификати за сигурност дори на най-ограничения в производителността хардуер. Ако е свързан с интернет, можем да ви помогнем да го защитите! Моля, свържете се с нас по имейл на Support@SSL.com или се обадете на 1-SSL-сертификат (1-775-237-8434), ако имате въпроси или искате повече информация за SSL.comIoT решения. И както винаги, благодаря ви, че избрахте SSL.com!
