Public Key Infrastructure (PKI) heeft een bewezen staat van dienst in het beveiligen van apparaten en de bijbehorende netwerken van het Internet of Things (IoT). Het succes van PKI ligt in het met certificaat geauthenticeerde encryptiemodel van PKI zelf. Authenticatie op basis van een digitaal (of PKI-) certificaat werkt heel eenvoudig.
Het meest gebruikelijke digitale certificaat in een IoT PKI is het X.509-certificaat, dat ook al jaren met succes SSL/TLS beschermt, de basis van https, en andere toepassingen zoals digitale handtekeningen, ondertekening van code en timestamping. Het X.509-certificaat is veilig, betrouwbaar en flexibel, en het certificaatprofiel en sjabloon kunnen worden aangepast aan de vele verschillende IoT-gebruiksscenario's die er zijn. Het is een belangrijk onderdeel van onze oplossing IoT Identity Platform.
Ondanks het bewezen succes van X.509-certificaten blijven IoT-apparaten die zijn verbonden met internet echter een belangrijk doelwit voor cybercriminaliteit. Alleen al de hoeveelheid apparaten die op de markt komt en de waarde die een potentiële inbreuk kan opleveren, lokt cybercriminelen als snoepgoed.
Beveilig toeleveringsketens met apparaatidentiteit
Het koppelen van identiteiten aan IoT-apparaten tijdens de productie biedt een solide verdedigingslinie. Stelt u zich een IoT-apparaatbedrijf voor dat zijn productie uitbesteedt aan een Electronic Manufacturing Service (EMS). Hoewel de meeste EMS-bedrijven een goede reputatie hebben, bestaat de kans dat twijfelachtige bedrijven te veel eenheden produceren, deze op de grijze markt verkopen en de waarde van het oorspronkelijke product of merk verminderen. Maar met een identiteit die tijdens de productie wordt toegevoegd, is de klant beschermd tegen ongeoorloofde netwerktoegang door apparaten op de grijze markt die geen geauthenticeerde apparaatidentiteiten/certificaten hebben. Ook als een zending IoT-apparaten tijdens het transport wordt gestolen, kunnen de certificaten/identiteiten worden ingetrokken, waardoor de apparaten onbruikbaar worden voor wederverkopers of gebruikers.
Apparaatidentiteiten werken even goed voor gerenommeerde EMS-bedrijven die hetzelfde product voor meerdere klanten produceren. De levering van certificaten/identiteiten voor elke afzonderlijke klant in traceerbare batches is een concurrentievoordeel. Ze kunnen hun klanten verzekeren dat wat verkocht wordt, veilig is vanaf de productievloer tot aan de deur van de klant, en tegelijkertijd een wrijvingsarme optie bieden om apparaten te verbinden met een platform verderop in de toeleveringsketen.
Opkomende concepten voor apparaatidentiteit (DevID) bevorderen crypto-flexibiliteit
Als reactie op de evoluerende computerdreigingen ontstaan geavanceerde architecturale modellen voor certificaatbescherming die ontworpen zijn om identiteiten te beschermen tegen bedreigingen voor de toeleveringsketen en tegelijk de veilige coördinatie tussen partijen in een toeleveringsketen te vergemakkelijken.
Naast X.509-apparaatcertificaten bieden we IEEE 802.1AR-certificaten (gebaseerd op X.509) aan die gebruikmaken van IDevID-certificaten (Initial Device Identifier) en LDevID-certificaten (Locally significant Device Identifier) als veilige apparaat-ID's (DevID's). Een IDevID heeft doorgaans een lange levensduur, wordt idealiter beschermd door beveiligde hardware en is representatief voor de kernidentiteit van het apparaat, zoals een geboorteakte. Een LDevID is een lokaal significant certificaat op toegangsniveau dat van kortere duur is en toegang verleent tot de omgeving, en kan worden beschouwd als een soort rijbewijs.
Deze identiteitsarchitectuur is vooral nuttig voor het oplossen van bootstrap-problemen met veilige, interoperabele IoT-apparaten. Flexibele LDevID-vereisten stellen operators in staat om identiteit en cryptografische flexibiliteit te bereiken, die kan worden gebruikt om doeltreffend te reageren op netwerkbedreigingen, of evoluerende cryptografische dreigingen als gevolg van de vooruitgang van quantum computing.
De 802.1 AR-specificatie vindt ingang in IoT-ecosystemen waar kritieke, hoogwaardige, verbonden omgevingen een veilige, flexibele reactie op opkomende bedreigingen nodig hebben. Het is een verticaal-agnostisch architecturaal identiteitspatroon dat we bij verschillende van onze bestaande klanten hebben toegepast. Voor de uitvoering ervan moet zorgvuldig rekening worden gehouden met de toeleveringsketen.
Ten eerste gaan we na waar en hoe de IDevID's veilig in dat apparaat of onderdeel of die chipset worden ingebouwd, en in welke fase van het productieproces.
Vervolgens bekijken we hoe we een aantal van deze IDevID-vertrouwensattributen, die idealiter veilig werden geleverd tijdens de productie, kunnen omzetten in een lokaal significante, operationele LDevID die kan worden gebruikt om het apparaat verbinding te laten maken met en te laten functioneren in het IoT-ecosysteem. Deze LDevID's worden over het algemeen vaker geroteerd gedurende de levenscyclus van het apparaat, waardoor het toegangsbeleid tijdens de werking van het apparaat kan worden aangepast.
Dit IDevID/LDevID-patroon is een blauwdruk voor de architecturale identiteit waarop PKI begint te leunen in het IoT. Organisaties die de IDevID to LDevID-architectuur gebruiken, kunnen zich aanpassen aan bedreigingen door algoritmen, vertrouwensketens en beveiligingsaannames gedurende de levenscyclus van het apparaat te wijzigen, op schaal via een geautomatiseerde reactie. Naarmate er bedreigingen opduiken, kan de DevID-architectuur ook de rotatie van certificaten of de herinschrijving van toegangsreferenties beheren voor verdere bescherming.
Door IoT-apparaten te voorzien van X.509- of 802.1AR-identiteiten in een PKI die door certificaten is geauthenticeerd, worden toeleveringsketens en IoT-apparaten en hun netwerken beschermd tegen opkomende dreigingen. Neem contact met ons op als u wilt weten hoe u uw IoT-apparaten en toeleveringsketens kunt beveiligen.