public key infrastructure...
TRANSCRIPT
www.softline-solutions.de
PUBLIC KEY INFRASTRUCTURE (PKI)SICHERHEIT FÜR DAS INTERNET DER DINGE
Ulf Seifert // Security Principal Senior Consultant
SOFTWARE ASSET MANAGEMENT BERATUNG
Ganzheitlich – Von der strategischen Konzeption
über die Implementierung bis zum Betrieb
von Technologien und Prozessen
Unabhängig – Von Herstellern und Large Account Resellern
Spezialisiert
– Mehr als 150 IT-Spezialisten europaweit
– Erfahrung aus mehr als 2.000 Projekten
PKI - Sicherheit für das Internet der Dinge 2
Autonome in ein Gesamtsystem
eingebettete Hard- und Software
Eindeutige Identifikation des Geräts
Netzwerkkommunikation mit Geräten und
MenschenSensoren, Aktoren
DAS INTERNET OF THINGS (IOT)DEFINITION
„INTERNET OF THINGS“ – VERSUCH EINER DEFINITION
PKI - Sicherheit für das Internet der Dinge 3
DAS INTERNET OF THINGS (IOT)NUR EIN HYPE?
„INTERNET OF THINGS“ – VERSUCH EINER DEFINITION
IoT
PKI - Sicherheit für das Internet der Dinge 4
KLASSIKER DER INFORMATIONSSICHERHEIT
• Verfügbarkeit, Vertraulichkeit, Integrität, Authentizität
• Datenschutz von betroffenen Personen
RESULTIERENDE AUFGABEN
• Sichere Integration von Geräten in eigene Netzwerke
• Zugriffskontrolle auf die durch die Geräte erzeugten Informationen
• Sichere Zwischenspeicherung von Informationen auf den Geräten
• Sicherstellung der Verlässlichkeit und Glaubwürdigkeit der bereitgestellten Informationen
• Sichere und zeitnahe Softwareaktualisierung der Geräte
WAS BEDEUTET SICHERHEIT IM ZUSAMMENHANG MIT IOT
„INTERNET OF THINGS“ – SICHERHEITSHERAUSFORDERUNGEN
PKI - Sicherheit für das Internet der Dinge 5
» PKI WIRD ZU DER ALLGEGENWÄRTIGEN
SICHERHEITSTECHNOLOGIE IM IOT-MARKT.
(GLOBALSIGN 2016)
„INTERNET OF THINGS“ & PUBLIC KEY INFRASTRUKTUR – PROGNOSEN
» PKI WIRD ALS DIE BEST-PRACTICE-LÖSUNG FÜR
DIE IDENTIFIZIERUNG UND AUTHENTIFIZIERUNG
UND SICHERE KOMMUNIKATION FÜR IOT DEVICES
STEHEN.
PROGNOSE NR. 1
„INTERNET OF THINGS“ & PUBLIC KEY INFRASTRUKTUR – PROGNOSEN
PROGNOSE NR. 1PKI WIRD DIE BEST-PRACTICE-LÖSUNG FÜR IOT
„INTERNET OF THINGS“ & PUBLIC KEY INFRASTRUKTUR – PROGNOSEN
• IoT-Daten sind wertvoll und müssen geschützt werden.
• Passwörter und Shared Keys sind nicht die Ideallösung.
• Die Identität eines Gerätes bedarf der Bindung der
Geräte-ID an einen kryptografischen Schlüssel.
• Digitale Zertifikate und PKI sind klar definierte Standards.
»PKI Is Gearing Up for the Internet of
Things.«
Gartner 2016
»The worldwide Internet of Things market spend will grow from $591.7 billion in 2014 to $1.3 trillion in 2019 with a
compound annual growth rate of 17%. The installed base of IoT endpoints will grow from 9.7 billion in 2014 to
more than 25.6 billion in 2019, hitting 30 billion in 20201.«
Verizon 2016
PKI - Sicherheit für das Internet der Dinge 8
» PKI WIRD DEM „CLOUDIFICATION OF IOT“-TREND
FOLGEN UND EBENFALLS IN CLOUD BASIERTE
INSTALLATION GEHEN.
PROGNOSE NR. 2
„INTERNET OF THINGS“ & PUBLIC KEY INFRASTRUKTUR – PROGNOSEN
PROGNOSE NR. 2PKI WIRD DEM „CLOUDIFICATION OF IOT“-TREND FOLGEN
„INTERNET OF THINGS“ & PUBLIC KEY INFRASTRUKTUR – PROGNOSEN
QUELLE: THALES PONEMON 2016 PKI TREND STUDY
• Die Angst vor der Nutzung von Cloud-Diensten sinkt
• Neue Geschäftsmodelle (Office 365, AWS, …)
• Mehr und mehr Regulatorien schaffen eine
Vertrauensgrundlage
• Gemäß 2016 Thales/Ponemon-Studie ist „Cloud based
Services“ der #1-Trend
• „PKI-as-a-Service“ ist schon seit Jahren eine der
etablierten Cloud-Dienste
PKI - Sicherheit für das Internet der Dinge 10
» WAS DIE IOT-SICHERHEITSVORFÄLLE BETRIFFT,
SO WIRD ES ERST NOCH SCHLIMMER,
BEVOR EINE BESSERUNG EINTRITT!
PROGNOSE NR. 3
„INTERNET OF THINGS“ & PUBLIC KEY INFRASTRUKTUR – PROGNOSEN
PROGNOSE NR. 3IOT-SICHERHEITSVORFÄLLE
„INTERNET OF THINGS“ & PUBLIC KEY INFRASTRUKTUR – PROGNOSEN
QUELLE: THE GUARDIAN 11/ 2016 QUELLE: KREBS ON SECURITY 10/2016 QUELLE: THE NEW YORK TIMES 11/2016
PKI - Sicherheit für das Internet der Dinge 12
• Die PKI liefert vertrauenswürdige Zertifikate, die:
• eine Identität, z. B. eines Gerätes, an einen kryptografischen Schlüssel binden
• zur Authentifizierung von Geräten genutzt werden können
• zur Erstellung einer digitalen Signatur für Nachrichten-Integrität oder Code-Signing genutzt werden können
• zur Ver- und Entschlüsselung von Daten, Information oder auch Programmcode genutzt werden können
• von vielen Herstellern schon heute angewandt werden im Rahmen von:
• Toolkits
• Software-Bibliotheken
• Sicherheitstoken
• Hardware-Sicherheitsmodule
DIE GRUNDLAGEN EINER PKI FÜR DAS IOTWAS LEISTET DIE PKI HEUTE?
„INTERNET OF THINGS“ & PUBLIC KEY INFRASTRUKTUR – KEINE „ALLTÄGLICHE“ UNTERNEHMENS-PKI
PKI - Sicherheit für das Internet der Dinge 13
Die Herauforderungen
• Wie kann ich die Daten von IoT-Systemen schützen, sowohl bei der Generierung als auch bei der Verarbeitung?
• Wie kann ich sicher sein das Daten und Informationen sowie Software und Programme nicht manipuliert wurden?
• Wie kann ich auf gesicherte Art und Weise Daten, Informationen und Software austauschen?
IoT-spezifische Aspekte
• Eine PKI für IoT-Systeme muss eine breites Spektrum an Geräteeigenschaften abdecken
• IoT-Geräte besitzen eine breite Vielfalt ein Eigenschaften (CPU, Speicher, I/O-Kanäle, kryptografische Fähigkeiten etc.)
• Besitz- und Einsatzverhältnisse von IoT-Geräten sind sehr unterschiedlich:
• Endverbraucherbereich mit in sich geschlossenem System
• Endverbraucherbereich mit offenen Systemen
• Unternehmensnutzung im Office-Bereich
• Unternehmensnutzung im industriellen Bereich
OFFENE PUNKTE IN DER IOT WELT WAS MUSS EINE PKI ZUKÜNFTIG LEISTEN?
„INTERNET OF THINGS“ & PUBLIC KEY INFRASTRUKTUR – KEINE „ALLTÄGLICHE“ UNTERNEHMENS-PKI
PKI - Sicherheit für das Internet der Dinge 14
• Ein PKI-Vertrauensmodell definiert die Parteien, die der PKI vertrauen.
• Es wird unterschieden zwischen offenen und geschlossenen Vertrauensmodellen.
• Offene Vertrauensmodelle:
Geräte befinden sich in öffentlicher oder privater Nutzung und werden nicht zentral verwaltet.
• Geschlossene Vertrauensmodelle:
Geräte befinden sich in privater Nutzung und werden zentral verwaltet.
• Hybride Vertrauensmodelle:
Geräte aus unterschiedlichen Modellen finden sich in einem System zusammen.
• Sicherheit und Vertrauen in IoT-Zertifikate muss durch entsprechende bekannte Maßnahmen unterlegt sein.
• Die „Spielregeln“ der IoT-PKI müssen durch entsprechende Dokumente belegt werden:
• Definition des Sicherheitsniveaus durch entsprechende Zertifizierungsrichtlinie (Certificate Policy – CP)
• Erklärung zum Zertifizierungsbetrieb (Certification Practice Statement – CPS) für die Zertifizierungsstelle (CA)
• Regelmäßige Überprüfung der Einhaltung der definierten Policies durch Audits
OFFENE PUNKTE IN DER IOT WELT VERTRAUENSMODELLE
„INTERNET OF THINGS“ & PUBLIC KEY INFRASTRUKTUR – KEINE „ALLTÄGLICHE“ UNTERNEHMENS-PKI
PKI - Sicherheit für das Internet der Dinge 15
Infrastruktur, Skalierung und Verfügbarkeit
Im Bereich von IoT ist eine genaue Planung der Infrastruktur notwendig:
• Online- oder Offline-System
• Verfügbarkeit der PKI-Komponenten und deren Ausbildung
• Elastizität bezogen auf I/O-Punkte
• Bereitstellung und Verteilung von Sperrlisten und Validierungsdiensten
Kryptografie
• Kann aufgrund von Hardware-Limitierungen eingeschränkt sein, bezogen auf Algorithmen und Schlüssellängen
(kann sich durch neue Standards und Verordnungen verändern)
• Kann durch Sicherheitsrichtlinien vorgegeben werden
• Ein grundlegender wichtiger Bereich ist die Generation von kryptografischem Schlüsselmaterial
OFFENE PUNKTE IN DER IOT WELT
„INTERNET OF THINGS“ & PUBLIC KEY INFRASTRUKTUR – KEINE „ALLTÄGLICHE“ UNTERNEHMENS-PKI
PKI - Sicherheit für das Internet der Dinge 16
IOT-SPEZIFISCHE ASPEKTEPLANUNG DES LEBENSZYKLUS
„INTERNET OF THINGS“ & PUBLIC KEY INFRASTRUKTUR – KEINE „ALLTÄGLICHE“ UNTERNEHMENS-PKI
PKI
PKI - Sicherheit für das Internet der Dinge 17
IIOT-SICHERHEIT EIN MEHRSTUFIGES KONZEPT MIT NEUEN ASPEKTEN
„INTERNET OF THINGS“ & PUBLIC KEY INFRASTRUKTUR – EIN ANWENDUNGSFALL
Werkschutz
Netzwerkschutz
Systemsicherheit
• IIoT-Sicherheit ist ein mehrstufiges Konzept
• Infrastruktur und Kommunikationssicherheit sind
wichtige Eckpfeiler
• Systemsicherheit erhält hierbei einen stärkeren
Fokus:
• Authentisierung
• Autorisierung
• Patch-Management
• Systemstabilität
PKI - Sicherheit für das Internet der Dinge 18
PKI – DIE GRUNDLAGESYSTEMSICHERHEIT DURCH SICHERE INFRASTRUKTUR
Komponentenfertigung Endmontage
Root CAHSM
Sub Root CA1Sub Root
CA2
Directory
Service
RA
Gerä
te-
ID
Gerä
te
Zertifik
at
SW Repos.
RA
Maschin
en
-ID
Maschin
en
Zertifik
at
Firm
ware
Softw
are
„INTERNET OF THINGS“ & PUBLIC KEY INFRASTRUKTUR – EIN ANWENDUNGSFALL
Wirkbetrieb
PKI - Sicherheit für das Internet der Dinge 19
SICHERER DIAGNOSE-ZUGRIFF AUCH DURCH DRITTE SERVICEPARTNER MÖGLICH
„INTERNET OF THINGS“ & PUBLIC KEY INFRASTRUKTUR – USE CASE 1
Directory Service
Externer Partner Externer Partner
PKI - Sicherheit für das Internet der Dinge 20
SICHERHEIT DER MASCHINE ZUGRIFF NUR DURCH AUTORISIERTE PERSONEN
„INTERNET OF THINGS“ & PUBLIC KEY INFRASTRUKTUR – USE CASE 2
PKI - Sicherheit für das Internet der Dinge 21
SICHERER SOFTWARE-UPDATE-PROZESSONLINE ODER OFFLINE DURCH CODE-SIGNING ABGESICHERT
„INTERNET OF THINGS“ & PUBLIC KEY INFRASTRUKTUR – USE CASE 3
Directory Service
SW Repos.
PKI - Sicherheit für das Internet der Dinge 22
» PKI IST DIE GRUNDLAGE DES VERTRAUENS
» KONZEPTE SIND BEKANNT
» UMSETZUNG IST GEFRAGT
INTERNET OF THINGS“ & PUBLIC KEY INFRASTRUKTUR
PHONE //
FAX //
E-MAIL //
SOFTLINE SOLUTIONS GMBH | GUTENBERG-GALERIE | GUTENBERGPLATZ 1 | 04103 LEIPZIG
PHONE // +49 341 24051-0, FAX // +49 341 24051-199, E-MAIL // [email protected]
Ulf Seifert // Security Principal Senior Consultant
+49 341 24051-0
+49 341 24051-199