Zabezpieczanie Internetu rzeczy (IoT) za pomocą SSL /TLS

Wprowadzenie

Począwszy od domowych kamer monitorujących i zamków do drzwi po dekodery, termostaty, urządzenia kuchenne, urządzenia medyczne i sygnalizację świetlną, liczba urządzeń podłączonych do Internetu rośnie w zawrotnym tempie od początku 2000 roku. Szacunki są różne, ale zgodnie z infografika opublikowany przez firmę Intel, IoT, który obejmował 2 miliardy „inteligentnych” obiektów w 2006 roku, ma wzrosnąć stukrotnie do 200 miliardów urządzeń do 2020 roku. 26 urządzeń IoT dla każdego człowieka na świecie.

Błyskawicznemu rozwojowi IoT towarzyszyły poważne wady bezpieczeństwa i bóle rozwojowe. ZA Badanie przeprowadzone w 2017 roku na około 400 menedżerach IT przez Altman Vilandrie & Company wskazuje, że prawie połowa ankietowanych firm doświadczyła przynajmniej jednego naruszenia bezpieczeństwa związanego z IoT, a koszt tych naruszeń stanowił „13.4% całkowitych przychodów w przypadku mniejszych firm i setki milionów dolarów w przypadku największych firm”.

Bliżej domu dla większości konsumentów, przerażające wiadomości o zagrożonych kamery ochrony a inteligentne zamki są coraz powszechniejsze. Na DEF CON 2016 naukowcy z Merculite Security zwrócił uwagę na wiele luk w zabezpieczeniach powszechnie dostępnych inteligentnych zamków, w tym czterech producentów zamków wysyłkowych, które korzystały z haseł tekstowych. Każdy, kto monitoruje komunikację sieciową z taką blokadą, może łatwo odzyskać hasło, co jest niedopuszczalne w przypadku urządzenia mającego na celu zapewnienie bezpieczeństwa rodzinom, domom i mieniu.

SSL /TLS dla IoT

Producenci i dostawcy inteligentnych urządzeń podłączonych do Internetu nie mogą sobie pozwolić na lęk przed bezpieczeństwem, ponieważ społeczeństwo staje się coraz bardziej zależne od swoich produktów i świadome luk. Jednym z ważnych kroków, które mogą podjąć firmy IoT, jest zainstalowanie publicznie zaufanego SSL /TLS certyfikaty do uwierzytelniania i szyfrowania na swoich urządzeniach.

SSL /TLS używa protokołu szyfrowanie asymetryczne do zabezpieczenia danych współdzielonych między dwoma komputerami w Internecie. Ponadto SSL /TLS zapewnia weryfikację tożsamości serwera i / lub klienta. W najbardziej typowym scenariuszu serwer HTTPS zapewnia przeglądarce odwiedzającego rozszerzenie świadectwo który został podpisany cyfrowo przez zaufaną osobę publiczną Certificate Authority (CA) lubię SSL.com. Matematyka SSL /TLS upewnić się, że podpisane cyfrowo certyfikaty urzędu certyfikacji są praktycznie niemożliwe do sfałszowania, biorąc pod uwagę odpowiednio duży rozmiar klucza. Publiczne urzędy certyfikacji weryfikują tożsamość wnioskodawców przed wydaniem certyfikatów. Podlegają one również rygorystycznym audytom przeprowadzanym przez dostawców systemów operacyjnych i przeglądarek internetowych w celu ich akceptacji i utrzymywania w sklepy zaufania (listy zaufanych certyfikaty główne zainstalowane z przeglądarką i oprogramowaniem systemu operacyjnego).

Mówiąc prościej, jeśli witryna ma certyfikat podpisany przez publicznie zaufany CA, przeglądarki internetowe i systemy operacyjne mogą ufać, że właściciel witryny jest w rzeczywistości tym, za kogo się podaje. Użytkownicy próbujący uzyskać dostęp do stron internetowych, które przedstawiają certyfikat nie publicznie zaufane napotkają surowe ostrzeżenia i blokady na drogach, na które trzeba przejść. Tę samą podstawową zasadę uwierzytelniania za pomocą certyfikatów x.509 można zastosować do komunikacja mailowa, kod komputerowyi urządzenia IoT.

SSL /TLS może być również użyty do uwierzytelnienia klientów. Na przykład firma może chcieć zezwolić tylko niektórym pracownikom na dostęp do aplikacji internetowej, a poprzez wydawanie tym klientom certyfikatów klienta może używać tych certyfikatów jako poświadczeń dostępu.

Zarówno SSL /TLS uwierzytelnianie klienta i serwera ma ważne implikacje i zastosowania dla Internetu Rzeczy. Większość z nas widziała takie wiadomości to przed przy próbie połączenia z domowym routerem bezprzewodowym z certyfikatem z podpisem własnym:

Ostrzeżenie o zaufaniu Chrome

Z publicznie zaufanym SSL /TLS certyfikaty, Twoi klienci nigdy nie napotkają takich wiadomości w interfejsie administratora urządzenia. Wracając do powyższego przykładu, SSL /TLS certyfikaty mogłyby zostać wykorzystane do znacznego wzmocnienia bezpieczeństwa w tym „inteligentnym” zamkiem do drzwi podłączonym do Internetu poprzez:

  • Instalacja a certyfikat serwera zaufanego publicznie w zamku, aby użytkownik łączący się z interfejsem internetowym nie musiał klikać ostrzeżenia bezpieczeństwa i / lub dodawać wyjątek bezpieczeństwa dla certyfikatu z podpisem własnym;
  • Wymaganie certyfikat klienta na smartfonie użytkownika, aby uzyskać dostęp do interfejsu zamka; i / lub
  • Szyfrowanie wszelka komunikacja między klientem a zamkiem lub między zamkiem a serwerami jego dostawcy. Nigdy więcej haseł w postaci zwykłego tekstu!

Producenci mogą również instalować publicznie zaufane certyfikaty klienta na swoich urządzeniach, aby uwierzytelniać się u dostawców zewnętrznych. Na przykład producent podłączonych do Internetu dekoderów może używać SSL /TLS certyfikaty do wzajemnego uwierzytelniania podczas łączenia się z dostawcami przesyłania strumieniowego audio i wideo.

Obawy dotyczące wydajności

Jedna wspólna obawa dotycząca integracji Internetu PKI z IoT to idea, że ​​SSL /TLS jest zbyt kosztowny obliczeniowo dla małych urządzeń o niskim poborze mocy, a w przypadku niektórych starszych urządzeń może to być prawda. Jednak narzut SSL /TLS protokół niekoniecznie jest tak istotny w porównaniu z kosztem przesłania danych, zwłaszcza w miarę wzrostu wielkości transakcji. ZA Badanie z 2011 r. Dotyczące zużycia energii przez urządzenia mobilne TLS wskazuje, że chociaż SSL /TLS narzut jest znaczący w przypadku bardzo małych transakcji mniejszych niż 10 KB, „przy transakcjach większych niż 500 KB, energia wymagana do przesłania rzeczywistych danych wyraźnie przewyższa TLS narzut energii ”.

Obecnie istnieje wiele lekkich implementacji TLS dostępny protokół w celu spełnienia ograniczeń urządzeń IoT o niskiej mocy. Oprogramowanie typu open source TLS Toolkit (poprzednio MatrixSSL) można skonfigurować tak, aby zajmował tylko 66 kB, a nawet ręczne mniejsze optymalizacje są możliwe. wilkSSL, kolejny SSL /TLS biblioteka, reklamuje minimalny rozmiar zajmowanego miejsca wynoszący 20-100 KB, a użycie pamięci w środowisku wykonawczym 1-36 KB. Oczywiście liczby te są już osiągalne nawet dla urządzenia o bardzo skromnych specyfikacjach i możemy spodziewać się dalszej optymalizacji oprogramowania w połączeniu ze zwiększoną mocą przy niższych kosztach dla urządzeń wbudowanych w przyszłości.

Jak SSL.com może pomóc producentom IoT

SSL.com oferuje światowej klasy usługi i korzyści naszym klientom biznesowym w przestrzeni IoT:

  • Rozwiązania niestandardowe: Jako eksperci w SSL /TLS, SSL.com współpracuje z producentami IoT w celu optymalizacji generowania, instalacji i cykli życia certyfikatów dla swoich urządzeń.
  • Podrzędny urząd certyfikacji: Hostowany podrzędny urząd certyfikacji (znany również jako wystawiający CA) od SSL.com oferuje producentom pełną kontrolę nad wydawaniem publicznie zaufanych certyfikatów podmiotów końcowych dla ich urządzeń za niewielką część kosztów ustanowienia własnego głównego urzędu certyfikacji i prywatnego PKI infrastruktura.
  • Narzędzia do zarządzania: SSL.comNarzędzia do zarządzania online umożliwiają producentom urządzeń łatwe wystawianie dużej liczby certyfikatów i zarządzanie ich cyklem życia.
  • API: Producenci IoT mogą zautomatyzować wydawanie certyfikatów i ich cykl życia SSL.com„s Usługi sieciowe SSL (SWS) API.
  • KULMINACJA: Zarządzaj cyklem życia certyfikatów na urządzeniach IoT za pomocą niestandardowego Wydający certyfikat CA z obsługą ACME. ACME to ustalony, standardowy protokół do zarządzania certyfikatami z wieloma implementacjami klienta typu open source.

Ponieważ liczba urządzeń IoT rośnie wykładniczo, SSL.com posiada wszystkie narzędzia i wiedzę potrzebną do pomocy producentom i dostawcom w zarządzaniu instalacją i cyklem życia publicznie zaufanych certyfikatów bezpieczeństwa nawet na sprzęcie o najbardziej ograniczonej wydajności. Jeśli jest podłączony do Internetu, pomożemy Ci go zabezpieczyć! Prosimy o kontakt mailowy pod adresem Support@SSL.com lub zadzwoń pod numer 1-SSL-Certificate (1-775-237-8434), jeśli masz jakiekolwiek pytania lub chcesz uzyskać więcej informacji na temat SSL.comrozwiązania IoT. I jak zawsze dziękujemy za wybór SSL.com!

Subskrybuj biuletyn SSL.com

Nie przegap nowych artykułów i aktualizacji z SSL.com

Bądź na bieżąco i bezpiecznie

SSL.com jest światowym liderem w dziedzinie cyberbezpieczeństwa, PKI i certyfikaty cyfrowe. Zarejestruj się, aby otrzymywać najnowsze wiadomości branżowe, wskazówki i ogłoszenia o produktach od SSL.com.

Będziemy wdzięczni za Twoją opinię

Weź udział w naszej ankiecie i daj nam znać, co myślisz o swoim ostatnim zakupie.