Die Public Key Infrastructure (PKI) hat eine nachgewiesene Erfolgsbilanz bei der Sicherung von Geräten und deren Internet of Things (IoT) -Netzwerken. Der Erfolg von PKI liegt im zertifikatauthentifizierten Verschlüsselungsmodell von PKI selbst. Die Authentifizierung, die durch ein digitales (oder PKI-) Zertifikat unterstützt wird, funktioniert schlichtweg.
Das gebräuchlichste digitale Zertifikat in einer IoT-PKI ist das X.509-Zertifikat, das seit Jahren auch erfolgreich SSL/TLS, die Basis von https, und andere Anwendungen wie digitale Signaturen, Code Signing und Zeitstempel schützt. Das X.509-Zertifikat ist sicher, zuverlässig und flexibel und ermöglicht die Anpassung von Zertifikatsprofilen und -vorlagen an die vielen verschiedenen IoT-Anwendungsfälle. Es ist eine Kernkomponente unserer IoT Identity Plattform.
Trotz des nachgewiesenen Erfolgs von X.509-Zertifikaten sind mit dem Internet verbundene IoT-Geräte weiterhin ein lohnendes Ziel für Cyberkriminalität. Die schiere Menge an Geräten, die auf den Markt kommen, und der Nutzen, den eine potenzielle Sicherheitsverletzung einbringen könnte, locken Cyberkriminelle wie Süßigkeiten an.
Sichere Lieferketten mit Geräteidentität
Die Bindung von Identitäten an IoT-Geräte während der Produktion bietet eine solide Verteidigungslinie. Stellen Sie sich ein Unternehmen für IoT-Geräte vor, das seine Produktion an einen Electronic Manufacturing Service (EMS) auslagert. Obwohl die meisten EMS-Firmen seriös sind, besteht die Möglichkeit, dass fragwürdige Unternehmen zu viele Geräte produzieren, sie auf dem grauen Markt verkaufen und den Wert des Originalprodukts oder der Marke verringern. Aber mit einer Identität, die während der Produktion eingefügt wird, ist der Kunde vor unautorisiertem Netzwerkzugriff durch Geräte des grauen Marktes geschützt, die keine authentifizierten Geräteidentitäten/Zertifikate besitzen. Wenn eine Lieferung von IoT-Geräten während des Transports gestohlen wird, können die Zertifikate/Identitäten widerrufen werden, wodurch die Geräte für potenzielle Wiederverkäufer oder Benutzer unbrauchbar werden.
Geräteidentitäten funktionieren ebenso gut für seriöse EMS-Firmen, die das gleiche Produkt für mehrere Kunden herstellen. Die Bereitstellung von Zertifikaten/Identitäten für jeden ihrer Kunden in nachverfolgbaren Chargen ist ein Wettbewerbsvorteil. Sie können ihren Kunden versichern, dass das, was verkauft wird, von der Produktion bis zur Warenannahme beim Kunden sicher ist, und gleichzeitig eine unkomplizierte Option für Geräte bieten, auf eine Plattform weiter unten in der Lieferkette wechseln zu können.
Neue Architekturkonzepte für die Geräteidentität (DevID) fördern die Krypto-Agilität
Als Reaktion auf die sich entwickelnden Computerbedrohungen entstehen neue Architekturmodelle für den Schutz von Zertifikaten, die darauf ausgelegt sind, Identitäten vor Bedrohungen in der Lieferkette zu schützen und gleichzeitig eine einfachere sichere Koordination zwischen den Parteien in einer Lieferkette zu ermöglichen.
Zusätzlich zu X.509-Gerätezertifikaten bieten wir IEEE 802.1AR-Zertifikate (basierend auf X.509) an, die Initial Device Identifier (IDevID)- und Locally Significant Device Identifier (LDevID)-Zertifikate als sichere Device Identifier (DevIDs) verwenden. Eine IDevID (anfängliche Geräteidentität) ist in der Regel langlebig, idealerweise durch sichere Hardware geschützt und repräsentiert die Kernidentität des Geräts, wie eine Geburtsurkunde. Eine LDevID (lokale Geräteidentität) ist ein lokal signifikantes Zertifikat auf Zugriffsebene mit kürzerer Lebensdauer und Zugriff auf die Umgebung, das als Führerschein angesehen werden kann.
Diese Identitätsarchitektur ist besonders nützlich für die Lösung von Bootstrap-Problemen beim sicheren, interoperablen Onboarding von IoT-Geräten. Flexible LDevID-Anforderungen ermöglichen es Betreibern, Identitäts- und kryptografische Agilität zu erreichen, die genutzt werden kann, um effektiv auf Netzwerkbedrohungen oder sich entwickelnde kryptografische Bedrohungen zu reagieren, die durch den Fortschritt des Quantencomputing entstehen.
Die 802.1 AR-Spezifikation findet immer mehr Anklang in IoT-Ökosystemen, in denen kritische, hochwertige vernetzte Umgebungen eine sichere, agile Antwort auf aufkommende Bedrohungen benötigen. Es handelt sich dabei um ein branchenunabhängiges Identitäts-Architekturmuster, das wir bei mehreren unserer bestehenden Kunden verwendet haben. Seine Implementierung erfordert eine sorgfältige Überlegung zur Lieferkette.
Zunächst überlegen wir, wo und wie die IDevIDs sicher in das Gerät oder die Komponente oder den Chipsatz eingebracht werden und in welcher Phase des Herstellungsprozesses. Als Nächstes überlegen wir, wie wir einige dieser IDevID-Vertrauensattribute, die idealerweise während der Herstellung sicher bereitgestellt wurden, in eine lokal signifikante, funktionsfähige LDevID umwandeln können, die es dem Gerät ermöglicht, sich mit dem IoT-Ökosystem zu verbinden und dort zu arbeiten. Diese LDevIDs werden in der Regel häufiger während des Gerätelebenszyklus gewechselt und ermöglichen so anpassbare Zugriffsrichtlinien während des Betriebs des Geräts.
Dieses IDevID/LDevID-Muster ist der Entwurf einer Identitätsarchitektur, auf die sich PKI im IoT zu stützen beginnt. Unternehmen, die die IDevID/LDevID-Architektur verwenden, können sich an Bedrohungen anpassen, indem sie Algorithmen, Vertrauensketten und Sicherheitsannahmen während des gesamten Lebenszyklus des Geräts ändern, und bedarfsgerecht über eine automatische Antwort. Wenn Bedrohungen auftauchen, kann die DevID-Architektur auch den Zertifikatswechsel oder die erneute Registrierung von Anmeldeinformationen zum weiteren Schutz managen.
Die Bereitstellung von IoT-Geräten mit X.509- oder 802.1AR-Identitäten in einer zertifikatsauthentifizierten PKI schützt Lieferketten und IoT-Geräte und deren Netzwerke vor aufkommenden Bedrohungen. Kontaktieren Sie uns, um zu erfahren, wie Sie Ihre IoT-Geräte und Lieferketten schützen können.
