A infraestrutura de chave pública (PKI) tem um histórico comprovado na proteção de dispositivos e de suas redes da Internet das Coisas (IoT). O sucesso da PKI reside no modelo de criptografia autenticado por certificado da própria PKI. A autenticação sustentada por um certificado digital (ou PKI) simplesmente funciona.
O certificado digital mais comum em uma PKI da IoT é o X.509, que por anos também conseguiu proteger SSL/TLS, a base de https e outros aplicativos como assinaturas digitais, assinatura de código e carimbo de tempo. O certificado X.509 é seguro, confiável e flexível, permitindo a personalização de modelos e perfis de certificados que se adaptam aos diversos casos de uso de IoT existentes. Ele é um componente central de nossa solução Plataforma de Identidade da IoT.
Apesar do sucesso demonstrado dos certificados X.509, os dispositivos da IoT conectados à Internet continuam a ser um alvo importante para o crime cibernético. A enorme quantidade de dispositivos que entram no mercado e o valor que uma possível violação pode gerar atraem os criminosos cibernéticos como doces.
Cadeias de suprimentos protegidas com identidade de dispositivo
Vincular identidades a dispositivos da IoT durante a produção oferece uma linha sólida de proteção. Imagine uma empresa de dispositivos da IoT que terceiriza sua produção com uma empresa de EMS (serviço de fabricação de eletrônicos). Embora a maioria das empresas de EMS tenha boa reputação, existe a probabilidade de que empresas questionáveis possam produzir unidades em excesso, vendendo-as no mercado paralelo (gray market) e reduzindo o valor do produto original ou da marca. Mas adicionando uma identidade durante a produção, o cliente está protegido contra acesso não autorizado à rede por dispositivos do mercado paralelo que não possuam certificados/identidades de dispositivos autenticados. Da mesma forma, se uma remessa de dispositivos da IoT for roubada durante o transporte, os certificados/identidades podem ser revogados, tornando os dispositivos inúteis para revendedores ou usuários.
As identidades de dispositivos funcionam igualmente bem para empresas de EMS respeitáveis que fabricam o mesmo produto para vários clientes. Fornecer certificados/identidades para cada cliente em lotes rastreáveis é uma vantagem competitiva. Eles garantem a seus clientes que o que é vendido está protegido desde o chão de fábrica até a porta do cliente, fornecendo uma opção de baixo atrito para que dispositivos se integrem em uma plataforma mais abaixo na cadeia de suprimentos.
Conceitos arquitetônicos emergentes de identidade de dispositivo (DevID) promovem a criptoagilidade
Em resposta às crescentes ameaças digitais, estão surgindo modelos arquitetônicos avançados para proteção de certificados, projetados para proteger identidades contra ameaças da cadeia de suprimentos. Ao mesmo tempo, esses modelos permitem uma coordenação segura mais fácil entre as partes em uma cadeia de suprimentos.
Além dos certificados de dispositivo X.509, fornecemos certificados IEEE 802.1AR (com base em X.509) que empregam certificados com identidade inicial de dispositivo (IDevID) e identidade do dispositivo local significativo (LDevID) como identificadores de dispositivos (DevIDs) seguros. Um IDevID costuma ter longa duração, idealmente protegido por hardware seguro, e representa a identidade central do dispositivo, como uma certidão de nascimento. Uma LDevID é um certificado de nível de acesso com relevância local e menor duração que fornece acesso ao ambiente – pode ser considerado semelhante a uma carteira de motorista.
Essa arquitetura de identidade é útil principalmente para resolver problemas de inicialização com a integração de dispositivos da IoT seguros e interoperáveis. Os requisitos flexíveis de LDevID permitem que as operadoras obtenham identidade e agilidade criptográfica, que pode ser usada para reagir com eficácia às ameaças de rede ou às crescentes ameaças criptográficas causadas pelo avanço da computação quântica.
A especificação 802.1 AR está progredindo nos ecossistemas da IoT, onde ambientes conectados essenciais e de alto valor precisam de uma resposta ágil e segura às ameaças que surgem. É um padrão de identidade arquitetônica não vertical que usamos com diversos clientes nossos. Ele avalia cuidadosamente a cadeia de suprimentos para ser implementado.
Primeiro, avaliamos onde e como as IDevIDs são fornecidas com segurança nesse dispositivo ou componente ou chipset, bem como em que estágio do processo de fabricação. Em seguida, analisamos a possibilidade de empregar alguns dos atributos de confiança da IDevID que idealmente foram fornecidos de forma segura durante a fabricação em uma LDevID operacional localmente significativa que possa ser usada para permitir que o dispositivo se conecte e opere no ecossistema da IoT. Essas LDevIDs geralmente são alternadas com mais frequência durante o ciclo de vida do dispositivo, permitindo políticas de acesso ajustáveis durante a operação do dispositivo.
Este padrão IDevID/LDevID é um projeto de identidade arquitetônica que a PKI está começando a empregar na IoT. As empresas que usam a arquitetura IDevID para LDevID podem se adaptar às ameaças alterando algoritmos, cadeias de confiança e suposições de segurança em todo o ciclo de vida do dispositivo, em larga escala por meio de uma resposta automatizada. Conforme surgem ameaças, a arquitetura DevID também gerencia a rotatividade de certificados ou a reinscrição de credenciais de acesso para garantir ainda mais proteção.
O fornecimento de dispositivos da IoT com identidades X.509 ou 802.1AR em uma PKI autenticada por certificado protege as cadeias de suprimentos e dispositivos da IoT e as respectivas redes contra as crescentes ameaças. Entre em contato conosco para saber como proteger seus dispositivos da IoT e cadeias de suprimentos.