Maintenant que j'ai démontré l'intérêt d'utiliser une infrastructure PKI pour sécuriser vos déploiements IoT et listé les éléments à prendre en compte lorsque vous cherchez une solution pour votre environnement, il est aussi important que je vous parle de ce que requiert la mise en place d'une infrastructure PKI pour l'Internet des Objets.
Il existe déjà un bon nombre de déploiements de l'Internet des Objets utilisant les capacités d'une PKI traditionelle au stade préliminaire. Mais tandis que le nombre d'appareils existants ne cesse de croître et sont de plus en plus différents, il est peu probable qu'une PKI traditionnelle puisse continuer à faire l'affaire. Regardons ensemble certaines considérations à prendre en compte pour qu'une PKI puisse prendre en charge l'échelle et l'hétérogénéité de l'Internet des Objets.
Périodes de validité de certificats plus longues ou plus courtes
En fonction des capacités et des limitations des appareils de votre environnement, nous vous conseillons d'utiliser des certificats d'une plus longue période de validité que les certificats traditionnels, notamment si vous n'êtes pas en mesure de mettre à jour vos appareils une fois déployés. Réciproquement, dans certains cas, il est possible que vous ne souhaitiez pas utiliser les services de révocation disponibles ou que votre environnement soit incertain ou dynamique, et qu'en conséquence vous préfériez choisir des périodes de validité de certificats plus courtes qui vous obligeront à régulièrement mettre à jour votre infrastructure pour limiter les risques.
Considérations en termes d’évolutivité
Si vous choisissez des certificats d'une période de validité plus longue, il vous faudra peut-être considérer des algorithmes cryptographiques et des clés plus fortes que les algorithmes et clés standard (par ex.: 4096 RSA / NISTP-256), afin de répondre à des besoins futurs
Algorithmes et hiérarchies de racines différents
Comme je l'ai évoqué ci-dessus, les appareils peuvent être limités en termes de processeur et de mémoire. Il vous faudra donc vous tourner vers des algorithmes plus efficaces comme l'algorithme ECC qui permet de générer la clé et de signer de façon beaucoup plus rapide. Vous pouvez également choisir des hiérarchies de racines plus courtes pour raccourcir le processus de validation de la chaîne de certificats.
Intégration de la confiance
Etablir la confiance dans l'écosystème de l'objet peut s'avérer difficile et dépendra grandement de votre environnement. Vous pouvez, par exemple, choisir d'établir la confiance en intégrant la racine à l'appareil au moment de sa fabrication.
Clés améliorées (EKU) customisées
Comme les certificats déployés dans votre environnement serviront probablement à répondre à de nouveaux cas d'utilisation et de nouvelles fonctionnalités, il vous faudra peut-être vous tourner vers des utilisations améliorées de la clé non standard ou customisées, afin que le contrôle avancé des accès ou la gestion des autorisations puissent fonctionner.
Règles de nommage flexibles
Enfin, la méthode pour identifier et nommer ces appareils ne sera probablement pas standard. La probabilité qu'ils devront utiliser des noms d'objets non alignés avec les conventions de nommage standard est donc haute.
Volume et rapidité
En plus de répondre aux exigences citées ci-dessus en termes de caractéristiques uniques de certificat et de chiffrement, les services PKI doivent être compatibles avec le volume et la rapidité d'un écosystème de l'Internet des Objets (on doit penser ici en termes de millions de certificats plutôt que de milliers). Par ailleurs, pour implémenter avec succès des scénarios nécessitant une quantité conséquente en certificats, les services PKI doivent être exposés à travers une API flexible, simple et efficace, afin de complètement automatiser le système. Enfin, vous devrez comprendre quels sont les besoins des appareils et des serveurs concernés en termes de performance et de disponibilité.
Ce ne sont que quelques unes des façons dont le PKI doit évoluer pour s'adapter à l'échelle et la diversité des déploiements liés à l'Internet des Objets. La bonne nouvelle : ces changements sont à portée de main, et peut être ont-ils déjà eu lieu. Trouver une Autorité de Certification (AC) souple et ayant la volonté de répondre à vos besoins spécifiques en créant une solution qui prend en compte toutes vos exigences est la clé du succès.
