Las instalaciones IoT de cualquier tamaño ahora se pueden resguardar con elementos seguros basados en hardware preabastecido
“No hay un enfoque único para la seguridad de IoT y cada instalación requiere su estrategia multicapa”
Con la plataforma conveniente es posible dotar a las aplicaciones IoT de la protección basada en hardware de elementos seguros preabastecidos y para pequeños pedidos desde tan solo 10 dispositivos. Esta plataforma debe incluir la fabricación de elementos seguros y la preconfiguración del dispositivo IoT, así como su preabastecimiento a lo largo del proceso de fabricación. Solo entonces se puede proveer un almacenamiento seguro de las claves basado en hardware con un certificado genérico a un coste total más bajo por dispositivo y con una dificultad significativamente inferior que abre la posibilidad de suministro por medio de terceros, distribuidores de servicios de infraestructura de clave pública (public key infrastructure, PKI) y autoridades de certificación. La industria está comenzando a adoptar este género de plataforma, con la cual incluso una aplicación básica en IoT como una pasarela (gateway), un equipo de aire acondicionado o bien una cámara de videovigilancia se pueden resguardar a nivel de hardware con certificados genéricos y previamente generador del dispositivo que se hallan en un elemento seguro con autentificación autónoma en la nube.
No hay un enfoque único para la seguridad de IoT y cada instalación requiere su estrategia multicapa. Sin embargo, por norma general se reconoce que si bien todo sobre un criptosistema sea de conocimiento público debería proseguir siendo seguro toda vez que siga siendo privado, conforme el principio de la criptografía de Kerckhoffs. La clave juega un papel fundamental al ofrecer la contestación a una prueba que permite al cliente y el host determinar la autenticidad de la “identidad de confianza” de un dispositivo antes de que puedan comunicarse, intercambiar datos o efectuar transacciones.
Es de vital importancia que la clave sea defendida en frente de ataques físicos y a extracción remota. La solución perfecta aísla las claves criptográficas estándar en un factor seguro y proporciona una frontera segura y aislada para no verse expuestas. Se trata de un proceso complejo que exige los conocimientos apropiados sobre seguridad y sumar tiempo de desarrollo a la solución IoT. Sin embargo, sigue siendo una práctica de seguridad fundamental que se debe implementar.
En primer lugar, a cada dispositivo IoT se le debe asignar un elemento seguro que complemente al microcontrolador del dispositivo. A continuación, el elemento seguro debe ser configurado en función de los casos de empleo a los que se destine, y dotado de credenciales y otros activos criptográficos que se utilizan para un determinado modelo de autentificación. Entonces se debe aprovisionar al dispositivo con los secretos correspondientes a cada caso de empleo definido, sin verse expuesto en ningún punto a lo largo de la fabricación. Este proceso con frecuencia ha quedado fuera del alcance de proyectos de tamaño pequeño o mediano.
Los fabricantes de IoT normalmente solo han asumido el trabajo que exige este mecanismo de autenticación basado en hardware para grandes pedidos, pero ahora la industria de semiconductores está facilitando su adopción generalizada. Microchip Technology es el primer proveedor en ofrecerlo para volúmenes lo bastante pequeños como para implementar la autentificación segura en proyectos de cualquier tamaño.
Con una plataforma de esta manera existen múltiples opciones libres de almacenamiento seguro de claves para autenticación de dispositivos y con cualquier volumen. Por servirnos de un ejemplo, es posible que algunas compañías con productos IoT prefieran la opción de elementos seguros preabastecidos en tanto que no requiere intervención alguna. Con esta alternativa, la clave privada y los certificados genéricos del elemento seguro se generan durante la fabricación en una planta segura y permanecen ocultos a lo largo del proceso de suministro seguro. Prosiguen estando seguros dentro del elemento seguro durante la fase de entrega y de incorporación a la nube basada en IP o bien a una red LoRaWAN™.
Posiblemente los fabricantes requieran algo más que una autentificación de dispositivo a red para ciertos o todos sus productos. Por ejemplo, puede que ciertos deseen trabajar con su propia cadena de certificación y incluso de este modo aprovechar los casos de uso preconfigurados, reduciendo de esta forma el tiempo de personalización y la dificultad además de acabar con la necesidad de números de referencia a la medida. Entre los ejemplos de casos de empleo preconfigurados se encuentran desde medidas de seguridad como autentificación basada en certificados TLS (Transport Layer Security) autentificación de LoRaWAN, arranque seguro, actualizaciones OTA (Over-the-Air), protección de IP, protección de datos del usuario y rotación de claves. Otros fabricantes precisarán opciones personalizables que vayan más allá de los casos de empleo básicos.
Los desarrollos más recientes de la seguridad basada en hardware logran que para las compañías resulte más sencillo y económico en proyectos de cualquier tamaño para implementar un elemento seguro en sus dispositivos IoT. Se han eliminado las barreras que caracterizado a la configuración y el abastecimiento de elementos seguros, la cadena de suministro seguro se ha extendido a todo el mercado y ahora será posible aplicar las recomendaciones a la autentificación de cualquier dispositivo conectado a través de IoT.
Autor: Xavier Bignalet- Director de Marketing de Producto, Grupo de Productos Seguros,
Microchip Technology
