Zabezpieczenie IoT z HSM Utimaco i OpenVPN
Utimaco to jest najbardziej liczącym się dostawcą sprzętowych modułów bezpieczeństwa (Hardware Security Module, czyli HSM).
HSM to wyjątkowe urządzenie: generujące ono, zabezpiecza i przechowuje dane kryptograficzne, takie jak certyfikaty i klucze, a także zarządza nimi. Dane te są przechowywane wewnątrz modułu HSM, chroniącego je przed kradzieżą lub naruszeniem ich integralności.
Twoje certyfikaty i klucze weryfikują i potwierdzają Twoją tożsamość w Internecie Rzeczy (Internet of Things, IoT). Jeśli dostaną się one w niepowołane ręce, skutki mogą być opłakane… Dowiedz się, dlaczego.
Czym jest IoT?
IoT, Internet of Things, czyli Internet Rzeczy, jest nowym, potężnym obszarem w sieci, w którym łączy ze sobą całą paletę urządzeń. Jakie to urządzenia? Na przykład czujniki temperatury, elementy obsługowe i sterujące w systemie kontroli procesowej lub systemie produkcji, ale także sterowniki wtrysku w samochodach, inteligentne liczniki w sieci energetycznej czy elementy systemu rafinacji i dystrybucji oleju napędowego.
To także piec, lodówka i toster w inteligentnym domu. A wszędzie, gdzie jakiekolwiek urządzenie potrzebuje dostępu do Internetu, by odebrać polecenie lub informacje albo odwrotnie – dostarczyć dane kontrolne do centrali, bezwzględnie potrzebne są zabezpieczenia.
Strumienie poleceń i danych kontrolnych wymagają niezaprzeczalności źródła, który zidentyfikuje je jako pochodzące z danego, konkretnego urządzenia. Każde urządzenie w sieci IoT musi mieć możliwość potwierdzenia tożsamości nadawcy. Urządzenia IoT z reguły używają operacji kryptograficznych na krzywych eliptycznych, które niż na przykład szyfrowanie RSA; nie obciąża nadmiernie urządzenia o małej mocy tworzących warstwę zabezpieczeń.
W sieci, w której komunikują się urządzenia IoT, moduł HSM używany jest do tworzenia certyfikatów i kluczy do każdego z urządzeń. Aby zwiększyć poziom zabezpieczeń, HSM może w określnych odstępach czasu generować nowe certyfikaty i klucze, zastępujące poprzedni zestaw. Funkcja ta, znana jako „rolling the keys”, zapewnia większe bezpieczeństwo dzięki unieważnieniu starych kluczy i wprowadzeniu w ich miejsce nowych.
Większość urządzeń IoT działa w lokalnych, prywatnych podsieciach. I podczas gdy mogą one komunikować się z powiązanymi urządzeniami (peer-to-peer) w obrębie współdzielonej sieci, monitoring i odbieranie poleceń wymaga już ruchu danych w sieci publicznej. I najlepiej byłoby, gdyby dane te pozostawały wówczas niewidoczne dla osób postronnych.
Tu na scenę wkracza OpenVPN. Łączy on wiele lokalnych, prywatnych sieci poprzez publiczny Internet, ukrywając ruch pomiędzy nimi. Zabezpiecza zarówno połączenia point-to-point, jak i site-to-site.
Czym jest OpenVPN?
OpenVPN to serwer i klient oparty na Open Source, który implementuje prywatną sieć lub VPN, tworząc bezpieczne połączenia point-to-point i site-to-site w sieciach routowanych lub mostkowanych.
Do wymiany kluczy stosowany jest protokó SSL/TLS. Jest w stanie przedostawać się przez Firewall i NAT.
OpenVPN pozwala urządzeniom w sieci na wzajemne uwierzytelnianie za pomocą klucza współdzielonego (PSK), certyfikatów lubnazwy użytkownika i hasła.
Konfiguracja OpenVPN umożliwia uwierzytelnianie certyfikatem każdego łączącego się z nim klienta dostarczonym przez odpowiedni podmiot certyfikujący.
Może to być urząd publiczny lub jedna z organizacji działających na lokalnym rynku.
Certyfikaty te mogą być przechowywane bezpośrednio na serwerze OpenVPN. Ponieważ jednak certyfikaty są widocznymi plikami, to powiązane z nimi klucze prywatne są wystawione na zagrożenie. Najbezpieczniejszym rozwiązaniem jest przechowywanie materiału kluczy kryptograficznych w HSM (Hardware Security Module – Sprzętowy moduł bezpieczeństwa).
Dzięki jego zastosowaniu autoryzacja w oparciu o certyfikay jest bezpieczna i możliwa jedynie wewnątrz HSM, poprzez protokół PKCS#11 API. OpenVPN może wówczas działać bez obaw, Twoje certyfikaty są bezpieczne.
Serwer będzie używał HSM, by zachować wszystkie znane certyfikaty użyte w jego domenie.
OpenVPN klient może użyć do zapisania wydanego certyfikatu zarówno pliku lokalnego, jak i Smart Card. Kiedy następuje zestawienie połączenia z obustronną wymianą certyfikatów, klient łączy się z siecią serwera.
Ruch może teraz przebiegać bezpiecznie z sieci lokalnej klienta poprzez tunel OpenVPN do sieci serwera, gdzie zostanie przekierowany do innych urządzeń, albo poprzez tunele stworzone przez klienta, albo na inne strony.
Utimaco HSM
Tworząc absolutnie bezpieczne środowisko do przechowywania kluczy i certyfikatów połączeń dla OpenVPN, Utimaco HSM zapewnia podstawy bezpieczeństwa. Wszystkie operacje są wykonywane wewnątrz HSM, żadne dane nie są więc widoczne w postaci niezakodowanej.
HSM Utimaco jest łatwy do zintegrowania z urządzeniami IoT i aplikacją OpenVPN poprzez standard PKCS#11 lub protokół Microsoft CNG API.
Certyfikaty i klucze IoT są generowane z Master Key wewnątrz modułu HSM. Wygenerowane klucze i certyfikaty zostają dostarczone do każdego z urządzeń IoT do identyfikacji i zatwierdzenia podpisu polecenia za pomocą szyfrowania eliptycznego.
Masz teraz bezpieczne tunele VPN pomiędzy swoimi połączonymi stronami, a wewnątrz tych tuneli – dodatkową warstwę zabezpieczeń, w której urządzenia IoT mogą identyfikować i zatwierdzać ruch danych za pomocą materiału kryptograficznego zdeponowanego w bezpiecznym środowisku HSM Utimaco.