PKI w ochronie IoT i dla przedsiębiorstw
– poznaj różnice

O Infrastrukturze Klucza Publicznego (PKI) pisaliśmy już w artykułach: Jak wprowadzić bezpieczne urządzenia IoT na rynek? czy Wyzwania dotyczące bezpieczeństwa IoT.
Jednak implementacja PKI w ekosystem biznesowy przedsiębiorstwa różni się od tej, w której zabezpieczyć należy urządzenia IoT na szeroką skalę. Z dzisiejszego newsa dowiesz się na czym te różnice polegają.
PKI w ochronie IoT i dla bezpieczeństwa przedsiębiorstw
W obydwu przypadkach podstawy PKI pozostają spójne i dotyczą m.in. wykorzystania certyfikatów cyfrowych od zaufanych urzędów certyfikacji (CA). Jednak wyzwania związane z dopasowaniem się do złożonych łańcuchów dostaw sprzętu i cykli życia urządzeń IoT znacznie różni się od tych dla organizacji. Poniżej wymieniliśmy kilka z nich.
01 Skalowalność i dostępność
Ilość i szybkość wydawania certyfikatów w IoT jest znacznie wyższa niż we wdrożeniach korporacyjnych. W rezultacie komponenty PKI takie jak główne urzędy certyfikacji (ang. Root CA oraz Subordinate CA) oraz serwisy odwoływania (ang. Revocation Authority) i walidacji (ang. Validation Authority) muszą spełniać wysokie poziomy bezpieczeństwa, dostępności i wydajności. Ponadto cały program wymaga hierarchii PKI z odpowiednimi zasadami i silnymi algorytmami.
02 Generowanie i przechowywanie kluczy prywatnych
Urządzenia IoT zazwyczaj znajdują się w miejscach, które są publicznie dostępne (w przeciwieństwie do korporacyjnych serwerów internetowych), dlatego producenci potrzebują sposobu na ochronę kluczy prywatnych przechowywanych na tych urządzeniach w celu uwierzytelnienia. Zazwyczaj wymaga to generowania kluczy prywatnych w bezpiecznym komponencie sprzętowym, aby nigdy nie zostały ujawnione poza urządzeniem. Takie podejście wymaga wcześniejszego zdefiniowania wymagań bezpieczeństwa dla wszystkich dostawców w całym procesie projektowania.
03 Certyfikaty
Przestrzeganie odpowiedniej polityki certyfikacyjnej jest w obydwu przypadkach bardzo ważne, a w kontekście IoT, biorąc pod uwagę zróżnicowanie tego ekosystemu staje się jeszcze istotniejsze. Producenci korzystający z PKI w IoT muszą mieć bardziej rygorystyczne podejście do certyfikacji, co w rezultacie pomoże w audytach bezpieczeństwa i budowaniu zaufania w całym łańcuchu dostaw IoT.
04 Zarządzanie cyklem życia
Cykl życia certyfikatu cyfrowego, który znajduje się na urządzeniu IoT, znacznie różni się od certyfikatu cyfrowego używanego do zabezpieczenia serwera WWW w PKI przedsiębiorstwa. W przypadku bezpieczeństwa IoT producenci muszą zrozumieć, w jaki sposób tożsamości będą dostarczane i aktualizowane w czasie dla danego urządzenia oraz wprowadzić jasny plan reagowania na wszelkie naruszone certyfikaty lub RoT.
W ESYSCO wspieramy zarówno międzynarodowych przedsiębiorców, jak i producentów urządzeń IoT we wdrażaniu PKI – Infrastruktury Klucza Publicznego. Jesteśmy pewni, że już wkrótce takie rozwiązanie będzie musiało trafić na masową skalę także do polskich firm. Dla sieci rządowych i administracji publicznej, np. urzędów skarbowych, PKI to najskuteczniejszy system zabezpieczeń przed niepowołanym dostępem, a ESYSCO oferuje usługi wyłącznie od zaufanych Partnerów, takich jak Keyfactor czy PrimeKey.
Specjalnie dla Ciebie udostępniamy przewodnik po PKI bezpośrednio od Keyfactor. Dzięki niemu dowiesz się jeszcze więcej na temat tego kompleksowego rozwiązania – zapraszamy do lektury.
A jeśli masz do Nas pytania – napisz na: connect@esysco.pl chętnie na nie odpowiemy!