Gestión de la vida útil del dispositivo para flotas de dispositivos IoT
Autores: Xavier Bignalet, Product Line Manager, Microchip Technology Inc. Nicolas Demoulin, Director de Marketing en EMEA – Productos de Seguridad, Microchip Technology Inc.
Oímos hablar mucho sobre gestión de dispositivos, pero ¿qué es exactamente, cómo la implementamos y cómo planteamos gestión del dispositivo durante la fase de despliegue y cuando los productos están sobre el terreno?
Algunas grandes empresas han empezado a hacerlo por sí mismas, pero lo que gestionan es básicamente la vida útil del certificado. Si observamos los cambios en las normas de seguridad, las principales son EN 303645, la norma inicial de seguridad en Europa, OCPP e IEC15118 para carga de vehículos eléctricos, de la Open Charge Alliance, Matter y otras muchas.
Todas ellas exigen revocar el certificado. Esto es bueno, pero cuando buscamos un nuevo certificado se requieren algunas cosas a partir de esta fase. Es preciso renovar el certificado tras revocar el anterior, y antes de que algo vaya mal habrá que auditar la conectividad relacionada con los certificados para comprobar, por ejemplo, que no hay un ataque DDoS. Algunas empresas realizan todo este proceso mejor que otras, pero las normas exigen cada vez más rotaciones del certificado, una tarea que no resulta nada sencilla.
Si lo planteamos como un proceso en cuatro pasos, el primer paso es importar el dispositivo. Si se trata de un dispositivo embebido compuesto por dispositivos de silicio que se conectará a una plataforma en la nube, ¿cómo importar la identidad de su dispositivo, que está representada por una cadena de certificados dentro de prácticamente cualquier plataforma en la nube? El segundo paso, cuando el dispositivo ya está representado por el certificado en una plataforma en la nube, es cómo revocar el dispositivo. Y una vez revocado, querrá renovar la identidad. A continuación querrá auditarlo. Por tanto hay cuatro pasos: importar, revocar, rotar y auditar.
Importación antes del lanzamiento del producto
La importación se ha de realizar antes de lanzar el producto al mercado. Si tomamos como ejemplo los termostatos para una casa, antes de que el cliente compre el termostato, la empresa que fabrica el producto ha de importar el dispositivo en su plataforma. A continuación la empresa ha de estar en condiciones de transferir la propiedad.
Para importar la flota en la plataforma, la empresa de este producto ha de escoger la autoridad certificadora. Se puede escoger entre numerosos proveedores o bien pueden ser sus propias autoridades. Las empresas que escogen esta ruta se convierten fundamentalmente en un cliente de Microchip. Microchip inicia un intercambio secreto con su módulo seguro de hardware en sus fábricas y en su elemento seguro, y el propio cliente. El cliente firma una solicitud de certificado (CSR) y cede a Microchip la autoridad para suministrar el elemento seguro en su nombre con la credencial asociada a esa cadena de certificados. Así se establece una cadena de confianza entre Microchip y el cliente.
Microchip lleva a cabo su suministro seguro mediante HSM, proporcionando así las claves dentro de su elemento seguro. Lo que Microchip recomendaría aquí es el elemento seguro TrustFLEX ya que está preconfigurado para saber exactamente cuál será su implementación real en la práctica.
Una vez definida la aplicación que usa el certificado de nacimiento y la comprobación de clave, el siguiente paso es cargar el certificado de nacimiento integrado en el elemento seguro.
El certificado de nacimiento se puede obtener de dos formas: a partir de la PKI a medida del cliente o bien el cliente utiliza el certificado de nacimiento proporcionado por Microchip. Una vez cargado el certificado de nacimiento en la plataforma en la nube, la flota de dispositivos, el termostato o cualquier otro producto quedan en espera hasta que los clientes finales adquieren el producto. La empresa transfiere entonces la propiedad de la empresa al cliente en cuestión, que empezará a vincularse con el termostato que ha comprado.
No obstante, la vida útil del producto sigue adelante; por ejemplo cuando se vende una casa y el termostato es vendido con ella, ¿qué ocurre con el certificado? Es entonces cuando entran en escena la revocación y la rotación. Revocación y renovación van de la mano. Si simplemente revocamos el certificado, es como si el dispositivo estuviera fuera de servicio. Un sistema de renovación permite asignar una nueva identidad al termostato y vincularla a un nuevo usuario.
Existe otro caso práctico que ilustra la necesidad de rotación: el mercado de alquiler a corto plazo. Imaginemos la cerradura de una puerta que un inquilino necesita abrir durante una semana, tras la cual ha de acceder un inquilino distinto.
El propietario deseará probablemente que los diferentes inquilinos tengan contraseñas diferentes, que habría que cambiar cada semana. Es entonces cuando se puede recurrir a la rotación del certificado y sincronizarla con calendario de las empresas de alquiler para ofrecer esa experiencia al usuario. Todo está sincronizado con lo bien que se revoquen o renueven esos certificados.
Una vez comprobado el nuevo poseedor, de manera que sea de confianza para la plataforma, la cadena de confianza se conserva gracias a la gestión de la cadena de certificados. El resultado es la generación de un nuevo poseedor que la plataforma de gestión del dispositivo puede asumir y controlar dependiendo de las necesidades del cliente, de los requisitos del cliente o de la situación.
El ATEC608 TrustFLEX de Microchip y otro dispositivo similar, el TA100, están destinados a este tipo de gestión del dispositivo. Van más allá de la gestión del dispositivo ya que ofrecen autenticación segura, arranque seguro y verificación OTA. La comprobación de la clave se ha de realizar dentro de esos límites seguros del silicio, lo cual permite la rotación de claves ya que han sido comprobadas. Existen otros muchos casos posibles o autenticación para una sola vez.
Gestión de cambios
Todo lo anterior describe la gestión del dispositivo desde el punto de vista del elemento seguro. El mercado ve el elemento seguro bloqueado que no permite cambiar nada, pero esto no es del todo cierto. Podemos establecer políticas para efectuar cambios en la configuración. Así es como está configurado el TrustFLEX. Permite llevar esto a cabo y el TA100 aún es probablemente más potente gracias a la variedad de derechos y permisos que puede manejar.
Si pensamos en las dificultades, exigen habilidades para responder a cuestiones como las siguientes: ¿Cómo implementar la gestión de ese dispositivo en todo el mundo? ¿Cómo implementar la gestión del dispositivo durante la fase de desarrollo del prototipo y durante la fase de producción? ¿Qué sucede cuando el producto se comercializa y posteriormente?
Cuando se desea retirar el producto del mercado hay que desactivarlo para que se deje de usar. Esto permite a las empresas gestionar sus garantías de un modo muy controlado, uno que es mejor que tan solo devolverlo sin que nadie sepa qué hacer después. Una empresa podría solicitar una revocación en el momento de la devolución del dispositivo en la tienda y luego saber que ese certificado está asociado a un producto con garantía de devolución.
También está el tema de las adquisiciones. Imaginemos que nuestra empresa de termostatos crece y adquiere otra empresa de termostatos. ¿Qué ocurre entonces con la arquitectura del primer certificado? ¿Cómo evolucionará tras la adquisición de esa empresa? Los servicios de gestión del dispositivo pueden ser de ayuda en estos casos.
En Microchip quisiéramos animar a nuestros clientes a implementar la gestión de dispositivos por varias razones. La normativa, la transferencia de propiedad, la escalabilidad y la caducidad de la garantía del producto son factores que impulsan al mercado a adoptar la gestión de dispositivos.
Utilizamos cookies para optimizar nuestro sitio web y nuestro servicio.
Funcional
Siempre activo
El almacenamiento o acceso técnico es estrictamente necesario para el propósito legítimo de permitir el uso de un servicio específico explícitamente solicitado por el abonado o usuario, o con el único propósito de llevar a cabo la transmisión de una comunicación a través de una red de comunicaciones electrónicas.
Preferencias
El almacenamiento o acceso técnico es necesario para la finalidad legítima de almacenar preferencias no solicitadas por el abonado o usuario.
Estadísticas
El almacenamiento o acceso técnico que es utilizado exclusivamente con fines estadísticos.El almacenamiento o acceso técnico que se utiliza exclusivamente con fines estadísticos anónimos. Sin un requerimiento, el cumplimiento voluntario por parte de tu Proveedor de servicios de Internet, o los registros adicionales de un tercero, la información almacenada o recuperada sólo para este propósito no se puede utilizar para identificarte.
Marketing
El almacenamiento o acceso técnico es necesario para crear perfiles de usuario para enviar publicidad, o para rastrear al usuario en una web o en varias web con fines de marketing similares.
