PKI para la Internet de las cosas (IoT)


A medida que la Internet de las cosas(IoT, Intenet of Things) continúa para conectar objetos y transmitir información a las personas, aparecen nuevas posibilidades para la vida profesional y personal. IDC proyecta que para el 2020, la IoT crecerá a 200 millones de objetos conectados. Sin embargo, a pesar de las posibilidades de la IoT , los hackers están innovando también en ese terreno. A la luz de las grandes cantidades de datos sensibles que la IoT genera, la necesidad de seguridad nunca ha sido mayor. Una posible respuesta a ese reto viene de una solución que ha estado trabajando en silencio para proteger los datos durante 20 años: la Infraestructura de Clave Pública (PKI, Public Kuey Infrstructure).  Nunca han sido exploradas todas sus posibilidades pero son muy prometedoras las que ofrece a la securización de la IoT.

El reto de la confianza

En cuanto a la seguridad, la IoT tiene dos importantes requisitos: la confianza y el control. Esto es difícil de lograr en la gran escala de la IoT, pero es indiscutible que la criptografía va a jugar un papel central. Por supuesto, las tecnologías de cifrado y PKI ya han sido probados en sistemas a gran escala, como la red de pagos mundial. Sin embargo, asegurar la IoT conlleva nuevos retos que nos obligan a replantear los supuestos tradicionales sobre gestión de claves y las inminentes amenazas a la seguridad.

Los dispositivos conectados deben proporcionar información confiable, a veces directamente al usuario y, a veces el proveedor de infraestructura, a menudo empleando análisis de datos que abarcan millones de tales dispositivos. Establecer la confianza en todos los dispositivos dispares en una escala masiva es, por supuesto, un reto importante. Los dispositivos en sí son susceptibles de recibir los ataques físicos, y las redes a través de las que se comunican suelen ser difíciles de asegurar. Además, los sistemas de back-end y repositorios de datos donde la información se recopila y analiza y se toman las decisiones también son objetivos atractivos para potenciales atacantes. Bajo el control de agentes maliciosos, la IoT podría convertirse rápidamente en la Internet de los espías o el Ejército de los objetos.

Lo que el IoT necesita para tener éxito

Aspectos como alta integridad en mensajería, comunicaciones seguras y autenticación mutua a escala de Internet será absolutamente necesaria para que la IoT tenga éxito. Para superar el reto de tener los dispositivos conectados a la red de forma segura durante décadas, la tecnología de los certificados digitales emitidos por una PKI está bien situada para servir como el mecanismo que garantiza la identidad en línea de las cosas y objetos. Las PKI ha funcionado bien durante años en entornos con altos requerimientos de seguridad donde cientos de millones de certificados de dispositivo han sido desplegados para cajeros automáticos, estaciones base celulares y teléfonos inteligentes. Aunque las cosas en la IoT tienen mucho en común con este tipo de dispositivos,afloran   algunas nuevas cuestiones acerca de las garantías, la escala y la tecnología.

En primer lugar, cuando se trata de seguridad y validación, hay una distinción entre aplicaciones públicas de PKI y aplicaciones PKI privadas o cerradas. Aplicaciones PKI comunes como la seguridad de correo electrónico a menudo requieren un nivel de confianza con distribución de roots a nivel del público – la capacidad para cualquier persona para validar las afirmaciones hechas por la garantía de las credenciales basadas en PKI, tales como certificados. Esto requiere la capacidad de dotar a todos los receptores posibles, de las claves y certificados que permiten comprobar las afirmaciones de todos los emisores potenciales y, aún más difícil, de revocar la capacidad de hacer reclamaciones si se pierde la confianza en un certificado. En muchos sentidos, la situación en la IoT es más fácil porque muchas implementaciones de la IoT no necesitan la confianza del público en general- ya que son sistemas cerrados. Por otra parte, la comprobación de revocación y validación en línea ya no será necesaria ya que la organización en el control ya se sabrá el estado de sus propios dispositivos en la red y no necesitan depender de la comprobación de la situación de las credenciales del dispositivo.

El segundo desafío se centra en la escalabilidad. Aunque entre las implementaciones de PKI sin duda existen las que tienen la capacidad de gestionar millones de certificados, la mayoría operan en niveles significativamente más pequeños. La magnitud de muchas implementaciones de la IoT hará que sean comunes los sistemas con decenas o incluso cientos de millones de credenciales. Sin embargo, muchas de las implementaciones de estos dispositivos será relativamente estática, las credenciales tienen ciclos de vida relativamente larga y los cambios relativos a la identidad de los objetos serán raras.

Por último, tenemos el tema de la tecnología. A diferencia de las PKI tradicionales, en la Iot  los dispositivos conectados serán de muy bajo consumo y de bajo presupuesto. La criptografía tradicional no está diseñada para estos entornos y es matemáticamente intensiva, lo que requiere mayor energía aplicada a la CPU. Otro problema es la generación de credenciales. Crear buenas claves no es fácil, y hacierlo en grandes volúmenes puede suponer un cuello de botella. Una vez más, los algoritmos criptográficos diseñados para dispositivos de baja potencia y la rápida generación de claves ya existen y han sido ampliamente probados.

Asegurar el futuro

Los beneficios de un mundo conectado significan que la IoT sólo se hará más grande. Mientras lo hace, también lo hará la posibilidad de amenazas a la seguridad. Por esta razón, es esencial reconsiderar la gestión de claves. A medida que más dispositivos se conectan a Internet y entre sí, estos dispositivos requieren certificados. Las PKI han proporcionadoSeguridad de los dispositivos conectados a la red todo el tiempo, por lo que la expansión de su uso para la IoT tiene sentido. La tecnología de PKI ha demostrado su eficacia en la solución de problemas de alta seguridad para las últimas dos décadas y está dispuesta a gestionar de forma segura los certificados digitales para la IoT .

Artículo en inglés de Richard Moulds, VP of strategy, Thales e-Security

PKI for the Internet of Things

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s