IoT comparten requisitos de seguridad comunes: una identidad de dispositivo de confianza, confidencialidad de los datos e integridad de los datos y del firmware que se ejecuta en el dispositivo. Esto se traduce en autenticación, cifrado y firma de código.
Sin embargo, sin un mecanismo para establecer las identidades iniciales y, a continuación, actualizar de forma segura las credenciales, la criptografía y el firmware desde cualquier lugar, su estrategia de seguridad IoT se queda con un agujero importante.
La infraestructura de clave pública (PKI) aborda este reto de la puesta en marcha sobre el terreno utilizando certificados digitales para asegurar las actualizaciones por aire de millones de dispositivos conectados. Al vincular criptográficamente una identidad a hardware, los dispositivos pueden autenticar conexiones, cifrar datos y verificar la integridad del código ejecutado en el dispositivo.
PKI y certificados digitales para IoT
Todos los certificados acaban vinculándose a una raíz de confianza (RoT), que es la base de la PKI. Una autoridad de certificación raíz (CA) correctamente establecida es primordial para garantizar el mantenimiento de la confianza durante todo el ciclo de vida del producto. La CA raíz establece la confianza dentro de los dispositivos IoT y todas las demás entidades que están autorizadas a crear conexiones seguras con el dispositivo.
Desde el momento en que se crea la raíz, se establece una cadena de custodia, que debe permanecer intacta desde el minuto en que se incepta y durante toda su vida útil. Si esta cadena de custodia se rompe en cualquier momento, todos los dispositivos corren un riesgo potencial.
Por esta razón, los certificados digitales han sido ampliamente adoptados para asegurar productos conectados de bajo consumo y gran volumen, con la flexibilidad necesaria para cumplir los requisitos de la mayoría de los dispositivos de IoT .
Implantación del certificado Bootstrap
A continuación se describe un método para establecer identidades digitales en los dispositivos IoT utilizando certificados de arranque y un proceso de verificación de la gestión del registro.
Estos pasos proporcionan un proceso para establecer las identidades únicas iniciales del dispositivo mediante un certificado de arranque durante la fabricación. Este proceso puede verificarse para emitir en última instancia un certificado de identidad completo cuando el dispositivo IoT esté plenamente operativo.
PASO 1
Se genera un certificado inicial en cada dispositivo mediante la generación de claves en el dispositivo (ODKG).
PASO 2
Un certificado de identidad bootstrap puede generarse como un certificado autofirmado, y tampoco tiene que estar encadenado a un RoT todavía, sin requerir una Autoridad de Certificación (CA) completa.
PASO 3
Cuando se crea el dispositivo en la línea de fabricación, se recopila suficiente información/metadatos sobre el dispositivo que se utilizarán en el futuro para el proceso de investigación.
PASO 4
Después de encender el vehículo por primera vez o durante el control de calidad/pruebas, se procesa una solicitud de registro y se presenta junto con información específica de fabricación.
PASO 5
El certificado bootstrap de cada dispositivo se sustituye por un certificado real sólo después de que el proceso de gestión del registro se haya completado con éxito.
PASO 6
El dispositivo está totalmente aprovisionado y el certificado oficial activado. Ahora, cada vez que el vehículo se ponga en marcha, podrá validar la identidad digital con el RoT mediante la verificación de firma incorporada.
PASO 7
Ahora, con las funciones de automatización del ciclo de vida de los certificados de Keyfactor, las empresas pueden volver a inscribir/sustituir/revocar estos certificados de identidad durante la vida útil del dispositivo y sustituir las credenciales según sea necesario.
PKI para IoT
Las empresas que proporcionan una identidad sólida para sus dispositivos IoT a escala pueden llegar al mercado de forma más rápida y segura, diferenciar sus productos y aumentar la visibilidad en toda la cadena de suministro IoT para evitar el fraude y mitigar los ataques generalizados.
Descargue el libro electrónico Zero Trust Manufacturing para ver cómo utilizar certificados digitales para establecer la confianza digital en toda la cadena de suministro de fabricación.
