Archivo de la categoría: Internet of Things

Securizando la Internet de las cosas (IoT)


La denominada Internet de las cosas (Internet of Things – IoT) formará una red de alta capilaridad en la que millones de dispositivos, sensores y actuadores remitirán información a sistemas de control que la consolidarán y generarán instrucciones que implicarán la actuación remota de todo tipo: válvulas, apertura y cierre de puertas, actuadores de cremallera , calefactores, motores, reguladores,..

Un contexto en el que es imprescindible que el control remoto solo pueda ser ejercido por sistemas seguros y autorizados para la función. Y que la información solo llegue al destino correcto sin que pueda ser suplantado.

Es preciso que todos los sistemas incluyan mecanismos de generación y comprobación de firmas electrónicas compactas y eficientes. Es preciso que todos los dispositivos incluyan soporte para la tecnología de firma electrónica mediante criptografía ECC.

El algoritmo asimétrico de criptografía de curva elíptica (ECC) es el preferible (frente a RSA) por tamaño de claves y eficiencia del algoritmos, que puede ser implementado en sistemas embebidos y microcontoladores.

El marco de restricciones en IoT incluye limitaciones en recursos computacionales tales como la velocidad del procesador y la memoria disponible, considerando que los dispositivos requieren un muy bajo consumo de energía.

Los desafíos del despliegue de soluciones de IoT incluyen la necesidad de reingeniería de aspectos tales como gestión de identidades, registro de dispositivos y usuarios y criptografía para satisfacer las necesidades de IoT.

ECC es el criptosistema adecuado para cumplir con las limitaciones y desafíos antes mencionados, ya que ECC utiliza claves más pequeñas, menor consumo de potencia de cálculo y menor consumo de memoria para el mismo nivel de protección.

ECC proporciona un nivel de seguridad que satisface las necesidades del ámbito del IoT. El riesgo potencial es alto, y los daños no se limitan al robo o pérdida de datos. Un  dispositivo de IoT comprometido, es decir, controlado por un intruso, puede conducir a problemas de seguridad importantes cuando se relacionan con vehículos, dispositivos de atención médica y sistemas de control. Estas situaciones pueden tener como consecuencias  la pérdida de control del vehículo, un mal funcionamiento del dispositivo médico u otro evento adverso, que causen lesiones, errores de diagnóstico o eventos catastróficos.

Incluso, en el ámbito de la privacidad, la posibilidad de que aparezcan amenazas como el seguimiento no autorizado de las ubicaciones de los individuos, la manipulación de las transacciones financieras y el compromiso de la integridad de los datos altamente sensibles (por ejemplo, los datos de salud necesarios para un diagnóstico adecuado) son retos tan significativos como para que merezcan un período de reflexión y un análisis profundo de los riesgos de cada proyecto o implementación.

EADTrust es su partner de valor añadido en proyectos de IoT por su conocimiento de los criptosistemas de curva elíptica y por la capacidad de generar y distribuir certificados ECC que se pueden incluir en los dispositivos y en los controladores para reforzar su seguridad.

Contacte con EADTRUST llamando al +34 91 7160555

iot

Root ECC para la Internet de las cosas (IoT)


Desde el 5 de octubre de 2009 EADTrust ofrece una Jerarquía de Certificación (PKI Public Key Infraestructure) basada en certificados de curvas elípticas ESDSA. El certificado de la autoridad raíz ECC de EADTrust  solo ocupa 2K por lo que es especialmente adecuado para entornos de baja disponibilidad de memoria, sistemas embebidos y dispositivos orientados a la Internet de las cosas, y, entre ellos, dispositivos “de vestir”.

En este tipo de criptografía, los certificados son más compactos y las firmas electrónicas, también, por lo que añadir seguridad a los dispositivos no es especialmente costoso, en términos de potencia computacional o memoria.

En el uso de certificados para la IoT es posible generar certificados y claves por miles y personalizar los dispositivos a través de un número de serie o un valor de MAC address, de forma que con posterioridad se puede añadir información adicional al número de serie, como tipo de dispositivo, tipo y versión de software y funcionalidades activadas, mediante funciones de consulta a una extensión mochila que puede ir firmada por el propio dispositivo y respaldada en la nube en un servidor de consulta para permitir funciones de cifrado.

Las posibilidades son muy amplias y el coste de los certificados muy reducido en las cantidades que se manejan en este tipo de proyectos.

Algunos dispositivos como el Atmel ATECC508A o el Atmel ATECC108A ya incluyen funcionalidades de criptografía de curvas elípticas (ECC, Elliptic Curve Cryptography) que se pueden integrar en cualquier proyecto y que inclue además protección de clave por hardware.

La  root ECC de EADTrust implementa ECDH P-256Los protocolos de intercambio de claves Diffie-Hellman de curva elíptica (ECDH) forman parte de la “Suite B” licenciada por la National Security Agency (NSA)  y se documentan en el Instituto nacional de estándares y tecnología (NISTSpecial Publication 800-56A Revision 2 

Los certificados que se firman mediante el algoritmo de firma Digital (ECDSA) de curva elíptica pueden utilizarse como método de autenticación. Los equipos identificados mediante un certificado pueden incluir este certificado en las negociaciones IPsec con un equipo remoto. El equipo remoto confirma criptográficamente que el propietario del certificado es el que se lo envió. La firma de certificados en ECDSA está documentada en la publicación de las normas de procesamiento de información federal FIPS 186-2

Dispositivos como beacons, sensores, sistemas de monitorización, sistemas de apertura y cierres, grabadores de parámetros, evaluadores de salud de entornos integrados o sensores de stress de seres vivos son algunos usos de estos dspositivos,

PKI para la Internet de las cosas (IoT)


A medida que la Internet de las cosas(IoT, Intenet of Things) continúa para conectar objetos y transmitir información a las personas, aparecen nuevas posibilidades para la vida profesional y personal. IDC proyecta que para el 2020, la IoT crecerá a 200 millones de objetos conectados. Sin embargo, a pesar de las posibilidades de la IoT , los hackers están innovando también en ese terreno. A la luz de las grandes cantidades de datos sensibles que la IoT genera, la necesidad de seguridad nunca ha sido mayor. Una posible respuesta a ese reto viene de una solución que ha estado trabajando en silencio para proteger los datos durante 20 años: la Infraestructura de Clave Pública (PKI, Public Kuey Infrstructure).  Nunca han sido exploradas todas sus posibilidades pero son muy prometedoras las que ofrece a la securización de la IoT.

El reto de la confianza

En cuanto a la seguridad, la IoT tiene dos importantes requisitos: la confianza y el control. Esto es difícil de lograr en la gran escala de la IoT, pero es indiscutible que la criptografía va a jugar un papel central. Por supuesto, las tecnologías de cifrado y PKI ya han sido probados en sistemas a gran escala, como la red de pagos mundial. Sin embargo, asegurar la IoT conlleva nuevos retos que nos obligan a replantear los supuestos tradicionales sobre gestión de claves y las inminentes amenazas a la seguridad.

Los dispositivos conectados deben proporcionar información confiable, a veces directamente al usuario y, a veces el proveedor de infraestructura, a menudo empleando análisis de datos que abarcan millones de tales dispositivos. Establecer la confianza en todos los dispositivos dispares en una escala masiva es, por supuesto, un reto importante. Los dispositivos en sí son susceptibles de recibir los ataques físicos, y las redes a través de las que se comunican suelen ser difíciles de asegurar. Además, los sistemas de back-end y repositorios de datos donde la información se recopila y analiza y se toman las decisiones también son objetivos atractivos para potenciales atacantes. Bajo el control de agentes maliciosos, la IoT podría convertirse rápidamente en la Internet de los espías o el Ejército de los objetos.

Lo que el IoT necesita para tener éxito

Aspectos como alta integridad en mensajería, comunicaciones seguras y autenticación mutua a escala de Internet será absolutamente necesaria para que la IoT tenga éxito. Para superar el reto de tener los dispositivos conectados a la red de forma segura durante décadas, la tecnología de los certificados digitales emitidos por una PKI está bien situada para servir como el mecanismo que garantiza la identidad en línea de las cosas y objetos. Las PKI ha funcionado bien durante años en entornos con altos requerimientos de seguridad donde cientos de millones de certificados de dispositivo han sido desplegados para cajeros automáticos, estaciones base celulares y teléfonos inteligentes. Aunque las cosas en la IoT tienen mucho en común con este tipo de dispositivos,afloran   algunas nuevas cuestiones acerca de las garantías, la escala y la tecnología.

En primer lugar, cuando se trata de seguridad y validación, hay una distinción entre aplicaciones públicas de PKI y aplicaciones PKI privadas o cerradas. Aplicaciones PKI comunes como la seguridad de correo electrónico a menudo requieren un nivel de confianza con distribución de roots a nivel del público – la capacidad para cualquier persona para validar las afirmaciones hechas por la garantía de las credenciales basadas en PKI, tales como certificados. Esto requiere la capacidad de dotar a todos los receptores posibles, de las claves y certificados que permiten comprobar las afirmaciones de todos los emisores potenciales y, aún más difícil, de revocar la capacidad de hacer reclamaciones si se pierde la confianza en un certificado. En muchos sentidos, la situación en la IoT es más fácil porque muchas implementaciones de la IoT no necesitan la confianza del público en general- ya que son sistemas cerrados. Por otra parte, la comprobación de revocación y validación en línea ya no será necesaria ya que la organización en el control ya se sabrá el estado de sus propios dispositivos en la red y no necesitan depender de la comprobación de la situación de las credenciales del dispositivo.

El segundo desafío se centra en la escalabilidad. Aunque entre las implementaciones de PKI sin duda existen las que tienen la capacidad de gestionar millones de certificados, la mayoría operan en niveles significativamente más pequeños. La magnitud de muchas implementaciones de la IoT hará que sean comunes los sistemas con decenas o incluso cientos de millones de credenciales. Sin embargo, muchas de las implementaciones de estos dispositivos será relativamente estática, las credenciales tienen ciclos de vida relativamente larga y los cambios relativos a la identidad de los objetos serán raras.

Por último, tenemos el tema de la tecnología. A diferencia de las PKI tradicionales, en la Iot  los dispositivos conectados serán de muy bajo consumo y de bajo presupuesto. La criptografía tradicional no está diseñada para estos entornos y es matemáticamente intensiva, lo que requiere mayor energía aplicada a la CPU. Otro problema es la generación de credenciales. Crear buenas claves no es fácil, y hacierlo en grandes volúmenes puede suponer un cuello de botella. Una vez más, los algoritmos criptográficos diseñados para dispositivos de baja potencia y la rápida generación de claves ya existen y han sido ampliamente probados.

Asegurar el futuro

Los beneficios de un mundo conectado significan que la IoT sólo se hará más grande. Mientras lo hace, también lo hará la posibilidad de amenazas a la seguridad. Por esta razón, es esencial reconsiderar la gestión de claves. A medida que más dispositivos se conectan a Internet y entre sí, estos dispositivos requieren certificados. Las PKI han proporcionadoSeguridad de los dispositivos conectados a la red todo el tiempo, por lo que la expansión de su uso para la IoT tiene sentido. La tecnología de PKI ha demostrado su eficacia en la solución de problemas de alta seguridad para las últimas dos décadas y está dispuesta a gestionar de forma segura los certificados digitales para la IoT .

Artículo en inglés de Richard Moulds, VP of strategy, Thales e-Security

PKI for the Internet of Things