Die Welt der Geräte und Maschinen von IoT ist in zwei Klassen unterteilt: Geräte mit reichlich Strom und Konnektivitätsbandbreite und solche mit einem sehr viel enger begrenzten Budget. Beide Geräteklassen haben jedoch die gleichen Sicherheitsanforderungen.
Die erste Kategorie legt keinen Wert auf Energieeinsparungen oder effiziente Kommunikationsprotokolle. Diese Geräte beherrschen IP, TCP, TLS, HTTP, MQTT usw. und haben keine Entschuldigung dafür, keine X.509-Zertifikate und private PKI zur Sicherung ihrer Kommunikation zu verwenden. Autos, Fabrikmaschinen, Windturbinen, HLK-Systeme, Gateways, Heimassistenten und Fernsehgeräte: Ihre bevorzugten Medien sind Ethernet, WiFi und 4G/5G-Mobilfunk. Diese Arten von Geräten sind immer verbunden und bereit, mit entfernten Servern zu interagieren, so dass es einfach ist, sie bei Bedarf mit neuer Firmware zu aktualisieren.
Die zweite Kategorie von Geräten verfügt zwar nicht über die gleiche umfangreiche Leistung oder Konnektivität wie die erste Gerätegruppe, wird aber dennoch als "intelligente" Geräte bezeichnet. Dazu gehören z. B. batteriebetriebene Zähler, intelligente Hausthermostate, intelligente Tracker für Anlagen oder Haustiere, intelligente Erntesensoren, mit dem Mobilfunknetz verbundene intelligente Stromzähler und sogar Elektrofahrräder oder -roller. Sie alle haben gemeinsam, dass sie in ein strenges Geschäftsmodell passen müssen, bei dem alle Kosten sorgfältig geplant sind. Ein intelligenter Stromzähler muss zum Beispiel mindestens 15 Jahre lang mit derselben 10-Ah-Batterie betrieben werden, da sich die Gesamtbetriebskosten mehr als verdoppeln würden, wenn jemand die Batterie austauschen müsste. Oder denken Sie an ein Elektrofahrrad - es darf nicht mehr als 12 MB pro Monat verbrauchen, denn so hat der Hersteller seinen Sechsjahresvertrag mit dem Mobilfunkbetreiber ausgehandelt und im Voraus bezahlt. Diese Geräte versuchen ständig, alles, was sie tun, zu optimieren. Sie stellen über WiFi, LTE-M oder NB-IoT, LoRaWAN, BLE, SIGFOX, Zigbee oder Thread eine Verbindung zum Internet her, müssen dabei aber so leise wie möglich sein und so oft wie möglich schlafen gehen.
Bei der Entwicklung der letztgenannten Klasse intelligenter Geräte ist viel zu bedenken, da sie ein "niedriges" Profil aufweisen: kostengünstiges Silizium mit geringem Stromverbrauch, Konnektivität mit geringer Bandbreite, Stacks mit geringem Speicherbedarf und in letzter Zeit auch eine geringe Umweltbelastung. Da diese Geräte in der Regel geringere Datenmengen übertragen - von einigen wenigen Bytes bis zu einigen Hundert auf einmal - müssen sie ihre Verbindungen zu anderen Geräten oder Servern optimieren. In dieser Hinsicht ist der TCP/TLS/HTTP-Stack, der in erster Linie für Webseiten und das Surfen im Internet mit einer durchschnittlichen Paketgröße von 1500 Byte entwickelt wurde, keine gute Wahl, da er auf jeder Ebene zu viel Overhead hinzufügt.
Aus diesem Grund ., in seinem RFC7252 die Internet Engineering Task Force (IETF) hat standardisiertgenormt. das Constrained Anwendungsprotokoll (CoAP) als eine effiziente Alternative zu HTTP für diese Klasse von Geräten. Es ist entgegenkommend an verlustbehaftet Paketübertragungen und istdaher, eine perfekte Lösung für UDP, die leichtere Alternative zu TCP auf der Transportschicht.
Es ist jedoch wichtig zu wissen, dass in diesem Zusammenhang ein "niedrigeres" Profil nicht "minderwertig" oder "billig" bedeutet. In der Vergangenheit haben sich Geräte mit geringerer Leistung auf vorab gemeinsam genutzte symmetrische Schlüssel verlassen, die umständlich in Auftrag gegeben und nie erneuert wurden, da digitale Zertifikate als zu schwer für die Geräte angesehen wurden. Mit den Fortschritten in der Technologie und den Protokollen können X.509-Zertifikate und private PKI in beiden Klassen verwendet werden und bieten ressourcenbeschränkten Geräten die gleiche Sicherheit, die ihre leistungsstärkeren Gegenstücke heute verwenden.
Die Matter- und WiSUN-Standards für Smart Home bzw. Smart Metering sind das perfekte Beispiel dafür, wie geringer Stromverbrauch und niedrige Bandbreite mit modernster PKI koexistieren können. Durch die Wahl von Elliptic Curve Cryptography (ECC) anstelle von RSA kann die Größe eines X.509-Zertifikats auf einige hundert Bytes begrenzt werden, was perfekt für eingeschränkte Geräte ist.
Und durch die Wahl einer PKI software oder eines Dienstes, der Enrollment over Secure Transport (EST - RFC7030) über CoAP (EST over CoAP) ermöglicht, ist es jetzt möglich, eindeutige Erstzertifikate für Geräte sicher von einer privaten PKI zu beziehen und sie bei der Herstellung in die Geräte zu injizieren. Darüber hinaus können Sie die Betriebszertifikate der Geräte während der gesamten Lebensdauer der Geräte nach Belieben per Funk erneuern, ohne einen speziellen Agenten für die Verwaltung des Lebenszyklus von Zertifikaten entwickeln oder Energie- und Konnektivitätsbudgets für diese Aufgabe bereitstellen zu müssen. Registrierung, erneute Registrierung und Erneuerung werden nun über CoAP-Anfragen und -Antworten an die und von der PKI abgewickelt und sind durch DTLS gesichert.
KeyfactorDieneueste Version EJBCA 8.0 führt EST über CoAP ein, um die Registrierung und Zertifikatserneuerung von mit WiSUN, NB-IoT und LWM2M verbundenen intelligenten Zählern in der privaten PKI des Strom-, Wasser- oder Gasversorgers zu unterstützen. Bis vor kurzem waren intelligente Zähler durch permanente symmetrische Schlüssel geschützt oder verließen sich nur auf die teilweise Sicherheit ihrer drahtlosen Verbindung. Mit X.509-Zertifikaten, die von den Versorgungsunternehmen ausgestellt und verwaltet werden, können sie nun eine End-to-End-Authentifizierung und Sicherheit gegenüber den Back-End-Servern der Versorgungsunternehmen gewährleisten und gelegentliche Firmware-Updates sicher akzeptieren.
Erfahren Sie, wie die neuen Funktionen von EJBCA die Gerätesicherheit erhöhen IoT .
