Absicherung der IoT in großem Maßstab: Wie PKI helfen kann

Das Internet der Dinge (IoT) ist allgegenwärtig. Diese vernetzten Geräte funktionieren jetzt auch im medizinischen Bereich, KraftfahrzeugenSteuerungssystemen in Industrie und Fertigung und vielem mehr.

Leider, Sicherheit in IoT Geräten hinter ihrer Produktion zurückgeblieben, und es ist an der Zeit, dass sich die Hersteller dieser Herausforderung direkt stellen. Konkret bedeutet dies, brauchen die Hersteller eine skalierbare Lösung um Probleme wie Authentifizierung, Datenverschlüsselung und die Integrität der Firmware auf angeschlossenen Geräten anzugehen. Gemeinsam werden diese Bemühungen dazu beitragen, dass die Hersteller nicht nur sichere Produkte auf den Markt bringen, sondern dass diese Geräte während ihrer gesamten Lebensdauer sicher bleiben.

Die Verwirklichung dieser Sicherheitsziele erfordert die Einführung einer Public-Key-Infrastruktur (PKI)-Strategie für eine starke Authentifizierung auf kostengünstige, leichtgewichtige und skalierbare Weise.

IoT Die Sicherheit hat nicht mit dem Innovationstempo bei diesen vernetzten Geräten Schritt gehalten. So werden Geräte von den Herstellern oft mit Standardpasswörtern oder gemeinsamen kryptografischen Schlüsseln ausgeliefert, wodurch jedes einzelne Gerät durch einen einzigen Hackerangriff gefährdet wird.

Die häufigsten Sicherheitsrisiken auf IoT liegen heute im Bereich der schwachen Identität und Authentifizierung. Zu diesen Risiken gehören:

• Schwache Authentifizierung: Die Verwendung schwacher Standardanmeldedaten ermöglicht es Hackern, in großem Umfang auf Geräte zuzugreifen und Malware zu installieren.

• Fest kodierte Anmeldeinformationen: Das Festcodieren von Passwörtern oder Schlüsseln in software oder in der Firmware und das anschließende Einbetten dieser Anmeldedaten im Klartext in den Quellcode vereinfacht den Zugang für die Entwickler, aber das gilt auch für alle anderen.

• Gemeinsame und ungeschützte Schlüssel: Instanzen mit symmetrischer (statt asymmetrischer) Verschlüsselung sowie Probleme bei der ordnungsgemäßen Speicherung und Bereitstellung von Verschlüsselungsschlüsseln (auch asymmetrischen) machen es leicht, Geräte zu kompromittieren. Die sichere Speicherung wird besonders im großen Maßstab zur Herausforderung.

• Schwache Verschlüsselung: Die Verwendung schwacher Algorithmen führt zu einer Verschlüsselung, die leicht zu knacken ist. Diese Herausforderung ergibt sich aus der Tatsache, dass leichtgewichtige IoT Geräte mit begrenzter Leistung Schwierigkeiten haben, genügend Entropie für die Erzeugung von Zufallszahlen zu erzeugen.

• Unsignierte Firmware: Code Signing überprüft die Authentizität und Integrität des Codes, aber viele IoT Geräte prüfen nicht auf eine Signatur, was sie anfällig für bösartige Firmware-Updates macht.

Trotz all dieser Herausforderungen, ist das Erreichen von Sicherheit in der IoT ist durchaus erreichbar. Alles beginnt mit einer soliden Strategie, in deren Mittelpunkt die PKI steht. Tiefer gehen, PKI kann die Sicherheit von IoT Geräten auf sechs entscheidende Arten unterstützen:

• Eindeutige Identitäten: Durch die Verwendung von Zertifikaten erhält jedes Gerät eine kryptografisch überprüfbare Identität für den sicheren Netzzugang und die Codeausführung. Wichtig ist, dass diese Zertifikate auf individueller Ebene aktualisiert oder widerrufen werden können.

• Offener und flexibler Standard: PKI ist ein offener Standard mit flexiblen Optionen für Roots of Trust, Zertifikatsregistrierung und Zertifikatssperrung, der eine Vielzahl von Anwendungsfällen unterstützt.

• Hohe Skalierbarkeit: Die Ausstellung eindeutiger Zertifikate von einer einzigen vertrauenswürdigen Zertifizierungsstelle (CA) erleichtert die gegenseitige Authentifizierung von Geräten, ohne dass ein zentraler Server erforderlich ist.

• Robuste Sicherheit: Ein gut verwaltetes PKI-Programm bietet die stärkste Authentifizierung, da kryptografische Schlüssel viel sicherer sind als Methoden wie Passwörter und Token.

• Minimaler Platzbedarf: Asymmetrische Schlüssel haben einen geringen Platzbedarf und sind daher ideal für IoT Geräte mit geringer Rechenleistung und geringem Speicherplatz.

• Bewährt und getestet: PKI ist ein bewährter und erprobter Ansatz, der von Experten als praktische und skalierbare Lösung für starke Sicherheit gegen eine Vielzahl von Angriffen anerkannt wird.

Wichtig ist, dass, während die Grundlagen der PKI gleich bleiben, unterscheidet sich der Ansatz, der erforderlich ist, um sich in die komplexen hardware Lieferketten und IoT Gerätelebenszyklen einzufügen, deutlich von der PKI, die Unternehmen seit Jahren verwenden. Zu diesen Unterschieden gehören:

• Skalierbarkeit und Verfügbarkeit: Das Volumen und die Geschwindigkeit der Ausstellung von Zertifikaten ist auf IoT viel höher als bei Unternehmensbereitstellungen (man denke an Tausende pro Minute). Daher müssen PKI-Komponenten wie die ausstellenden Zertifizierungsstellen und die Widerrufsinfrastruktur hohe Verfügbarkeits- und Leistungsanforderungen erfüllen, und das gesamte Programm erfordert eine PKI-Hierarchie mit geeigneten Richtlinien und starken Algorithmen.

• Erzeugung und Speicherung privater Schlüssel: Da die Geräte von IoT in der Regel an öffentlich zugänglichen Orten stehen (im Gegensatz zu Webservern in Unternehmen), benötigen die Hersteller eine Möglichkeit, die auf diesen Geräten zur Authentifizierung gespeicherten privaten Schlüssel zu schützen. Dies erfordert in der Regel die Generierung privater Schlüssel innerhalb einer sicheren hardware Komponente, so dass sie niemals außerhalb des Geräts offengelegt werden. Dieser Ansatz erfordert die Festlegung von Sicherheitsanforderungen im Vorfeld für alle Anbieter während des gesamten Entwicklungsprozesses.

• Zertifikatsrichtlinie: Zertifikatsrichtlinien sind immer wichtig, aber die Einhaltung der Richtlinien wird auf IoT angesichts des heterogenen Ökosystems noch wichtiger. Für jedes Zertifikat ist eine klare Dokumentation erforderlich, die bestätigt, dass es den Richtlinien entspricht, so dass die Partner innerhalb der IoT Lieferkette Vertrauen zueinander aufbauen können.

• Lebenszyklus-Management: Die Planung des Lebenszyklus ist auf IoT ganz anders als im Unternehmen, da die Geräte so lange im Einsatz sind. Die Hersteller müssen verstehen, wie Identitäten im Laufe der Zeit bereitgestellt und aktualisiert werden, während die Geräte in der Welt leben, und sie brauchen Reaktionspläne für Algorithmusverschlechterungen oder eine beeinträchtigte Vertrauensbasis.

Trotz all dieser Herausforderungen, ist das Erreichen von Sicherheit in der IoT ist durchaus erreichbar. Alles beginnt mit einer soliden Strategie, in deren Mittelpunkt die PKI steht. Tiefer gehen, PKI kann die Sicherheit von IoT Geräten auf sechs entscheidende Arten unterstützen:

Letztendlich werden die Hersteller, die starke, eindeutige Identitäten für ihre IoT Geräte bereitstellen können - und dies in großem Umfang - besser geschützte, differenzierte Produkte auf den Markt bringen. Das Erreichen dieses Ziels beginnt mit diesen Top-Empfehlungen für IoT Gerätesicherheit:

• Integrieren Sie vertrauenswürdige Geräteidentitäten und -bereitstellungen: Verwenden Sie eindeutige digitale Zertifikate für jedes Gerät, um eine genauere Verwaltung und Verfolgung zu ermöglichen. Wichtig ist, dass jedes dieser Zertifikate mit einem etablierten Stammzertifikat mit einer starken CA-Hierarchie verbunden ist.

• Verwalten der geräteinternen Schlüsselerzeugung: Dokumentieren Sie Anwendungsfälle für die geräteinterne Schlüsselgenerierung, um Certificate Policy und Certificate Practice Statements (CP/CPS) zu definieren. Die Ausarbeitung von CP/CPS ist optional, bietet aber eine hohe Sicherheit durch eine bessere Durchsetzung der Richtlinien.

• Berücksichtigen Sie Offline-/Geräte mit eingeschränkter Konnektivität: Ermöglichen Sie es Geräten innerhalb der gleichen Vertrauenskette, sich auch ohne Internetverbindung zu authentifizieren, damit sie weiterhin regelmäßige Wartung und Updates erhalten können.

• Unterstützung der gegenseitigen Authentifizierung: Erfordern Sie eine Authentifizierung, um den Zugang auf vertrauenswürdige Benutzer und Systeme zu beschränken. Digitale Zertifikate ermöglichen eine gegenseitige Authentifizierung zwischen zwei Einheiten, die eine gemeinsame Vertrauensbasis haben, um den Datenaustausch in offenen Netzen sicherer zu machen.

• Sicheres Booten und Codesignieren: Programmieren Sie Geräte so, dass sie nur die Ausführung von Code mit einer verifizierten Signatur zulassen. Das Hinzufügen eines sicheren Starts schützt Geräte auch, indem es sicherstellt, dass sie Updates nur starten oder installieren, wenn sie von einer bekannten, vertrauenswürdigen Stelle signiert wurden.

• Integration von Krypto-Agilität und Lebenszyklusmanagement: Führen Sie die Möglichkeit ein, Zertifikate von aktiven Geräten schnell neu auszustellen oder zu widerrufen, da statische Systeme von Natur aus unsicher sind. Berücksichtigen Sie Fälle wie das Ablaufen von Zertifikaten, Eigentümerwechsel und Algorithmusverschlechterung, die alle erfordern, dass Geräte kryptografische Updates erhalten, um sicher zu bleiben.

Wenn Sie bereit sind, sich der Herausforderung IoT zu stellen, sind Sie bei uns genau richtig. Laden Sie das vollständige Whitepaper über den Wert von PKI für IoT herunter, um zu erfahren, worauf es ankommt und wie Keyfactor Control und EJBCA Enterprise Herstellern helfen können, sichere IoT Geräte in großem Umfang auf den Markt zu bringen.