L'internet des objets a besoin de crypto-agilité et de PKI pour survivre aux attaques de l'informatique quantique - voici pourquoi

L'internet des objets ( L'internet des objets (IoT) connaît une croissance exponentielle. De plus en plus de produits sont lancés chaque année. De plus en plus d'appareils sont mis en ligne. De plus en plus de données sont transmises au nuage, et de plus en plus de fournisseurs de services utilisent ces données pour offrir de nouvelles formes de valeur aux consommateurs et aux organisations du monde entier.

En fait, les systèmes et infrastructures critiques connectés à l'internet sont plus nombreux que jamais. Si l'importance de la sécurité dans ce scénario n'est pas évidente, examinons quelques scénarios :

• Dans le monde des dispositifs médicaux connectés, imaginez qu'un pirate informatique puisse télécharger un micrologiciel personnalisé non signé sur votre stimulateur cardiaque pour prendre le contrôle de votre rythme cardiaque.
• Dans le domaine de l'automobile automobile connectée Imaginez qu'un pirate informatique pénètre les défenses numériques du système de divertissement d'un véhicule pour s'introduire dans le réseau interne et sauter dans des systèmes critiques tels que les serrures des portières ou les commandes du moteur, où la compromission peut entraîner des problèmes de sécurité pour les personnes.
• Si vous vous intéressez à l Internet industriel des objets (IIoT) parce que vous dirigez une usine connectée, imaginez que des capteurs, des caméras ou même des équipements CVC de votre usine soient utilisés pour exfiltrer des données de production sensibles afin de les vendre à vos concurrents.

Malheureusement, IoT cybersécurité n'est pas un problème résoluet voici deux des grandesplus raisons: la sécurité est délicate, et la sécurité évolue. L'imminence imminente l'imminence de la révolution de l'informatique quantique ne fait que plus difficiles..

Dans certains endroits, la cybersécurité n'est encore qu'un pis-aller, et de nombreuses pratiques déconcertantes sont encore en vigueur, qu'il s'agisse de portes dérobées non documentées et non protégées, d'identifiants partagés, de mots de passe codés en dur, ou même de transmission non sécurisée de secrets et de données télémétriques en texte clair.

Toutes ces pratiques sont loin d'être optimales et répondent à une partie du problème de sécurité de IoT , mais elles présentent toutes des limites importantes qui augmentent le risque de cybersécurité. Le problème quand on fait les choses soi-même, c'est qu'il faut des années d'expérience pour apprendre les tenants et les aboutissants de ce qui est possible. Il faut une conception et des tests approfondis pour couvrir tous les cas limites.

Ce qu'il faut, c'est un ensemble de systèmes et de processus qui ont été correctement conçus en tenant compte des principes de sécurité dès le départ. Il s'agit d'une l'infrastructure à clé publique (PKI)et si vous l'utilisez déjà, je prêche un convaincu.

Lorsque vous adoptez le site PKI pour sécuriser vos appareils, vos systèmes, leurs connexions entre eux et avec le cloud, vous tirez parti d'une technologie éprouvée qui a évolué au fil des ans sous l'œil attentif des experts en sécurité.

Personne n'est assez naïf pour croire que la sécurité est statique, que les protocoles, les codes et les technologies utilisés aujourd'hui seront applicables à la prochaine génération de produits. Mais il est difficile et coûteux d'assurer la pérennité des conceptions. Par conséquent, les entreprises sont tentées de prendre la décision de coder en dur certains aspects de leur conception, comme les cyphers cryptographiques et les racines de confiance.

Le problème, c'est que le monde de la cybersécurité évolue, et ce plus rapidement que ne le souhaiteraient tous ceux qui savent combien de temps il faut pour itérer une conception hardware ou un processus de production. Un cryptogramme peut se révéler vulnérable à tout moment, et les dispositifs hardware peuvent rester sur le terrain pendant des années tout en ne se connectant que par intermittence.

La crypto-agilité est la réponse à cette question : il s'agit de la capacité d'un système à mettre à jour ses éléments cryptographiques de base sur le terrain, puis à mettre à jour ses certificats, son micrologiciel et d'autres systèmes internes de manière sécurisée. La souplesse de mise à jour des informations d'identification et de la base de confiance devient de plus en plus importante à l'aube de l'ère post-quantique. Tout produit ou système connecté que vous concevez aujourd'hui doit intégrer la crypto-agilité.

Les problèmes de complexité et d'évolution rapide se conjuguent avec l'avènement de l'informatique quantique.

Les ordinateurs quantiques ne fonctionnent pas selon les principes numériques de base des uns et des zéros auxquels nous sommes tous habitués. Par conséquent, même des ordinateurs quantiques relativement modestes pourront banaliser certains des algorithmes cryptographiques les plus sûrs utilisés aujourd'hui. Cela ressemble à de la science-fiction, mais les ordinateurs quantiques progressent chaque année. Leur arrivée est une question de "quand", et non de "si".

Heureusement, des organisations tournées vers l'avenir comme le NIST travaillent avec la communauté cryptographique pour établir des normes post-quantiques qui survivront à l'arrivée de l'informatique quantique. En fait, de nouveaux algorithmes ont déjà été annoncés. Cela signifie qu'il faut mettre à jour les bibliothèques et les services pour qu'ils prennent en charge les nouvelles normes cryptographiques post-quantiques du NIST.

Tout produit ou système connecté que vous concevez aujourd'hui doit être prêt pour un avenir post-quantique. post-quantique. PQShield est un partenaire de Keyfactor et un leader mondial dans le développement de nouvelles normes cryptographiques. Pour en savoir plus sur la façon dont les organisations peuvent se préparer à la cryptographie post-quantique, lisez leur série de livres blancs sur la menace quantique.

Cette situation est en train de changer, et le changement sera nécessaire pour toute entreprise qui souhaite produire ou utiliser des appareils connectés.

Tout d'abord, les appareils IoT nécessitent des systèmes et des processus bien pensés pour les fonctions de sécurité telles que la gestion de l'identité et la communication dans le nuage. Cela vient de PKI.

Deuxièmement, les dispositifs IoT doivent être préparés au changement - pendant qu'ils sont sur le terrain. Ils devront être prêts à mettre en œuvre les nouvelles normes post-quantiques annoncées par le NIST en juillet 2022. Pour ce faire, les appareils et les systèmes doivent être conçus en tenant compte de la crypto-agilité, de sorte que la cryptographie classique utilisée aujourd'hui puisse être transposée en toute transparence dans les nouvelles normes.

Grâce à ces éléments, les entreprises qui produisent des appareils pour l'internet des objets - et celles qui les utilisent - peuvent minimiser les risques et se concentrer sur les produits, les services et les modèles commerciaux qui créeront l'avenir, en toute sécurité.