Šifrovanie internetu vecí na strave online

V prípade internetu vecí musí byť šifrovanie tenšie, nemožno sa ho však obísť. Pracovná skupina pre internetové inžinierstvo bojuje za riešenia.

vecí

Pracovná skupina pre internetové inžinierstvo (IETF) sa dohaduje o tom, či by odizolovaný TLS (cTLS) alebo úplne nový protokol mali poskytovať dokonalé tajomstvo vpred pre snímače a malé uzly. Pretože internet vecí (IoT) by mal tiež komunikovať v šifrovanej podobe.

Zabezpečte kľúče

Pretože zariadenia IoT by mali byť ekonomické, výrobcovia im zvyčajne dávajú iba ekonomické procesory a malú RAM. Šifrovací protokol preto musí šetriť zdroje. Napriek tomu by mal byť tiež svižný. Pretože čo sa môže stať, keď sú zariadenia a senzory zavesené na internete vecí bez dobrej ochrany, je dnes dobre známe z útokov, ako je napríklad útok botnetu Mirai. Okrem iných štandardizačných skupín IETF už predstavila veľké množstvo stavebných prvkov vrátane spôsobov bezpečných aktualizácií softvéru v prostredí IoT.

Vďaka Object Security for Constrained Devices (OSCORE, RFC 8613) má IETF už staršiu špecifikáciu šifrovania pre koncové body, napríklad v prostrediach COAP. COAP, Constrained Application Protocol, je webový prenosový protokol šitý na mieru malým uzlom, okolo ktorých sa vytvárajú špeciálne štandardy formátu, prenosu a šifrovania pre IoT.

OSCORE tak zaisťuje užitočné zaťaženie správ, ktoré si stroje vymieňajú. Hlavičky a metadáta sú chránené iba selektívne. V súčasnosti protokol funguje hlavne s kľúčmi distribuovanými vopred, uviedol Göran Selander z Ericssonu. Zoznamy predtým generovaných kľúčov sú však obľúbeným útočným bodom, dodal Selander.

Nový protokol by mal preto umožňovať výmenu kľúčov v štýle TLS, mal by však byť ľahší. Dôležitým cieľom pre Selandera je tiež vyzbrojenie malých uzlov Perfect Forward Secrecy (PFS). Cieľom PFS je chrániť prenosy zariadení, ktoré často zostávajú v teréne dlho, a to aj po úspešných útokoch alebo zaznamenaných reláciách.

Šetrnejšia odnož TLS

Vývojár spoločnosti Ericsson preto predstavil Ephemeral Diffie-Hellman Over COSE (EDHOC) IETF ako protokol výmeny kľúčov. „EDHOC poskytuje ekonomickú výmenu dočasných, bezpečných kľúčov, vzájomné overovanie, ochranu identity a dokonalé utajenie,“ sľubuje Selander. EDHOC tiež stavia na protokolovom balíku IETF pre IoT. COSE je štandard podpisu a šifrovania pre CBOR. **

Komunita TLS však nie je porazená tak ľahko. Odborníci na TLS sa domnievajú, že pri vývoji TLS bolo potrebné veľa práce a inteligencie. V niektorých prostrediach IoT sa dnes už používa variant DTLS, ktorý je možné použiť aj pre UDP. Aktuálna verzia TLS 1.3 tiež poskytuje všetko, čo vývojári IoT chcú - až na jednu výnimku: vďaka kryptografickej réžii je TLS 1.3 pre IoT príliš tučný.

Inšpirovaná diskusiou o EDHOC, Rescorla teraz pracuje na šetrnom odnoží kompaktného TLS (cTLS). Spoločnosť Rescorla identifikovala nadbytočný obsah hlavičky, ktorý je možné z protokolu TLS 1.3 vymazať, a navrhuje, pokiaľ je to možné, použiť predvolené nastavenia - čím viac predvolených nastavení, tým štíhlejší je rokovací proces. Spoločne, menšie hlavičky a viac predvolieb, by mali priniesť požadované zefektívnenie. Podľa Rescorla je cTLS nakoniec TLS s lepším kódovaním. TLS 1.3 bol navrhnutý zbytočne.

Vznikajúca pracovná skupina Lightweight Authenticated Key Exchange (LAKE) je teraz rozdelená do dvoch táborov. Oba koncepty zatiaľ sleduje paralelne. Na jednej strane mnohí považujú za lepšie držať sa osvedčeného. Na druhej strane, kompaktná verzia TLS pre
niektoré aplikácie internetu vecí sú stále príliš náročné.

[Aktualizácia]: 14.08.19 11:15, Göran Selander dodáva: „Spoločnosť Ericsson nie je v žiadnom prípade proti paralelnému vývoju EDHOC a cTLS. Pre obidve existujú rôzne oblasti použitia a, ako sa ukázalo na stretnutí, tiež podpora výmeny ľahkých kľúčov pre OSCORE. pre tenký variant TLS “. Selander tiež zdôrazňuje, že Perfect Forward Secrecy pre malé uzly bolo hlavným dôvodom vývoja technológie EDHOC. EDHOC má doplniť OSCORE, ktorý zabezpečuje prenosy IoT medzi koncami. Mohli by sa napríklad použiť pre zariadenia založené na technológiách NB-IoT, LoRaWAN alebo 6TISCH. (dz)