El Internet de las cosas (IoT) ha ampliado enormemente el panorama de amenazas potenciales para todo el mercado. Cada dispositivo IoT representa un punto y final frágil, y el incremento de los ataques exitosamente contra las defensas basadas en software ha probado que este enfoque es absolutamente inapropiado, en especial para los pequeños microcontroladores. Para atenuar la brecha de vulnerabilidad, las mejores prácticas de la industria dictan que el modelo de autentificación del dispositivo conectado se fortalezca con un factor seguro que haya sido configurado para guardar claves privadas y administrar secretos cripto-algorítmicos. Tristemente, debido sobre todo a las restricciones logísticas de la cadena de suministro, este enfoque ha sido bastante difícil de agregar a la mayor parte de las implantaciones de tamaño pequeño o bien mediano, lo que plantea la pregunta: ¿De qué forma puede la industria generalizar un proceso de fabricación adaptado para el mercado de masas, ofertando una clave única para cada dispositivo a un costo accesible?
En nuestros días, con la plataforma conveniente, es posible ofrecer a las aplicaciones del IoT la protección basada en hardware de elementos seguros pre-suministrados, y con una cantidad mínima de pedido (MOQ) tan baja como diez dispositivos pre-suministrados. Al ir alén de la simple fabricación de elementos seguros y pre-configurarlos y pre-suministrados para los dispositivos IoT, el almacenaje de claves seguro basado en hardware puede suministrarse con un certificado genérico a un costo total más bajo por dispositivo y con una dificultad significativamente menor de la que ha sido posible con el suministro de terceros, distribuidores de servicios de infraestructura de clave pública (PKI) y autoridades de certificación. Aun una aplicación básica de IoT, como una pasarela de comunicaciones, un acondicionador de aire o bien una cámara de videovigilancia, puede resguardarse ahora a nivel de hardware con certificados genéricos pre-generados para el dispositivo, que se bloquean en un elemento seguro para la integración autónoma de la autentificación en la nube.
Beneficios de los elementos seguros en una estrategia de seguridad multicapa
No hay un enfoque único para la seguridad del IoT y cada implementación requiere su estrategia multicapa. Mas se reconoce extensamente que aun si todo lo relacionado con un criptosistema es de dominio público, debería proseguir siendo seguro mientras que su clave prosiga siendo privada, conforme el principio de Kerckhoffs. La clave desempeña un papel esencial al administrar la contestación a un reto que deja al usuario y al anfitrión establecer la autenticidad de la «identidad de confianza» de un dispositivo antes que pueda comunicarse, intercambiar datos o bien efectuar transacciones.
Es de vital relevancia que la clave esté protegida contra los ataques físicos y la extracción recóndita. La solución perfecta aísla las claves criptográficas estándar de la industria en un factor seguro y da un límite seguro apartado a fin de que no queden expuestas. Se trata de una labor compleja que requiere los conocimientos convenientes en materia de seguridad, aparte de agregar tiempo de desarrollo a la solución del IoT; no obstante, prosigue siendo una práctica de seguridad esencial que es preciso aplicar.
Primeramente, hay que dotar a cada dispositivo IoT de un factor seguro que actúe como acompañante del microcontrolador del dispositivo, como se describe en el artículo de Antony
Passemard, Securing cloud-connected devices with Cloud IoT and Microchip (Asegurar los dispositivos conectados a la nube con Cloud IoT y Microchip). Ahora, el factor seguro debe configurarse apropiadamente para los casos de empleo dados y aprovisionarse con las credenciales y otros activos criptográficos que se emplean para el modelo de autentificación dado. Ahora, el dispositivo ha de ser aprovisionado con cada uno de ellos de los secretos pertinentes a los casos de empleo definidos, sin que queden expuestos en ningún instante a lo largo de la fabricación. Un proceso que no acostumbra a ser accesible para la mayor parte de los proyectos pequeños o bien medianos.
Los fabricantes de IoT solo han estado prestos a aceptar la carga de este mecanismo de autentificación basado en hardware para los pedidos de gran volumen, mas ahora la industria de los semiconductores está allanando el camino para su adopción extendida. Con la nueva Trust Platform de Microchip para su familia CryptoAuthentication™, existen múltiples opciones para desplegar el almacenaje seguro de claves para la autentificación de dispositivos, en cualquier volumen. Por poner un ejemplo, ciertas empresas de productos IoT pueden preferir la opción de elementos seguros pre-suministrados. Con esta alternativa, la clave privada del elemento seguro y los certificados genéricos se producen a lo largo de la fabricación en unas instalaciones seguras de Microchip y no se exponen a lo largo del proceso de suministro seguro. Continúan bloqueados con seguridad en el elemento seguro a lo largo del envío y por medio de la integración automatizada a la nube basada en IP o bien a la red LoRaWAN™.
Por otro lado, los fabricantes pueden precisar algo más que la autentificación del dispositivo a la red para ciertos o bien sus productos. Como un ejemplo, ciertos pueden apreciar trabajar con su cadena de certificados, mas continuar aprovechando los casos de empleo preconfigurados, lo que reduce el tiempo de personalización y la dificultad, mientras que suprime la necesidad de números de componente adaptados.
Los ejemplos de casos de empleo pre-configurados van desde medidas de seguridad básicas como la autentificación basada en certificados de seguridad de la capa de transporte (TLS) hasta la autentificación LoRaWAN, el arranque seguro, las actualizaciones por aire (OTA), la protección de IP, la protección de los datos del usuario y la rotación de claves. Al paso que otros fabricantes precisarán opciones personalizables alén de los casos de empleo básicos.
Hay una creciente demanda de la industria para generalizar este género de seguridad basada en hardware y asegurar que aguanta la autentificación de dispositivos IoT a cualquier infraestructura de nube pública o bien privada. Como un ejemplo, Microchip Technology ha trabajado últimamente con las peculiaridades de Amazon Web Services (AWS) para permitir un proceso fácil y simplificado para la integración a los servicios de IoT de AWS de cualquier producto que haya sido creado usando la plataforma de confianza. Esta familia deja una seguridad basada en hardware pre-suministrada, pre-configurada o bien absolutamente personalizable para los dispositivos IoT usando el factor seguro ATECC608A de Microchip.
Este último desarrollo en seguridad basada en hardware hace que sea fácil y rentable para las compañías con cualquier tamaño de proyecto incorporar un factor seguro con sus dispositivos IoT. Se han eliminado las barreras de forma tradicional asociadas a la configuración y el suministro de elementos seguros, se ha extendido la cadena de suministro segura y ahora va a ser posible extender las mejores prácticas de la industria para cualquier autentificación de dispositivos conectados en todo el IoT.
Por Xavier Bignalet, Directivo de Marketing de Producto, Secure Product Group de Microchip Technology
