www.softline-solutions.de

PUBLIC KEY INFRASTRUCTURE (PKI)SICHERHEIT FÜR DAS INTERNET DER DINGE

Ulf Seifert // Security Principal Senior Consultant

SOFTWARE ASSET MANAGEMENT BERATUNG

Ganzheitlich – Von der strategischen Konzeption

über die Implementierung bis zum Betrieb

von Technologien und Prozessen

Unabhängig – Von Herstellern und Large Account Resellern

Spezialisiert

– Mehr als 150 IT-Spezialisten europaweit

– Erfahrung aus mehr als 2.000 Projekten

PKI - Sicherheit für das Internet der Dinge 2

Autonome in ein Gesamtsystem

eingebettete Hard- und Software

Eindeutige Identifikation des Geräts

Netzwerkkommunikation mit Geräten und

MenschenSensoren, Aktoren

DAS INTERNET OF THINGS (IOT)DEFINITION

„INTERNET OF THINGS“ – VERSUCH EINER DEFINITION

PKI - Sicherheit für das Internet der Dinge 3

DAS INTERNET OF THINGS (IOT)NUR EIN HYPE?

„INTERNET OF THINGS“ – VERSUCH EINER DEFINITION

IoT

PKI - Sicherheit für das Internet der Dinge 4

KLASSIKER DER INFORMATIONSSICHERHEIT

• Verfügbarkeit, Vertraulichkeit, Integrität, Authentizität

• Datenschutz von betroffenen Personen

RESULTIERENDE AUFGABEN

• Sichere Integration von Geräten in eigene Netzwerke

• Zugriffskontrolle auf die durch die Geräte erzeugten Informationen

• Sichere Zwischenspeicherung von Informationen auf den Geräten

• Sicherstellung der Verlässlichkeit und Glaubwürdigkeit der bereitgestellten Informationen

• Sichere und zeitnahe Softwareaktualisierung der Geräte

WAS BEDEUTET SICHERHEIT IM ZUSAMMENHANG MIT IOT

„INTERNET OF THINGS“ – SICHERHEITSHERAUSFORDERUNGEN

PKI - Sicherheit für das Internet der Dinge 5

» PKI WIRD ZU DER ALLGEGENWÄRTIGEN

SICHERHEITSTECHNOLOGIE IM IOT-MARKT.

(GLOBALSIGN 2016)

„INTERNET OF THINGS“ & PUBLIC KEY INFRASTRUKTUR – PROGNOSEN

» PKI WIRD ALS DIE BEST-PRACTICE-LÖSUNG FÜR

DIE IDENTIFIZIERUNG UND AUTHENTIFIZIERUNG

UND SICHERE KOMMUNIKATION FÜR IOT DEVICES

STEHEN.

PROGNOSE NR. 1

„INTERNET OF THINGS“ & PUBLIC KEY INFRASTRUKTUR – PROGNOSEN

PROGNOSE NR. 1PKI WIRD DIE BEST-PRACTICE-LÖSUNG FÜR IOT

„INTERNET OF THINGS“ & PUBLIC KEY INFRASTRUKTUR – PROGNOSEN

• IoT-Daten sind wertvoll und müssen geschützt werden.

• Passwörter und Shared Keys sind nicht die Ideallösung.

• Die Identität eines Gerätes bedarf der Bindung der

Geräte-ID an einen kryptografischen Schlüssel.

• Digitale Zertifikate und PKI sind klar definierte Standards.

»PKI Is Gearing Up for the Internet of

Things.«

Gartner 2016

»The worldwide Internet of Things market spend will grow from $591.7 billion in 2014 to $1.3 trillion in 2019 with a

compound annual growth rate of 17%. The installed base of IoT endpoints will grow from 9.7 billion in 2014 to

more than 25.6 billion in 2019, hitting 30 billion in 20201.«

Verizon 2016

PKI - Sicherheit für das Internet der Dinge 8

» PKI WIRD DEM „CLOUDIFICATION OF IOT“-TREND

FOLGEN UND EBENFALLS IN CLOUD BASIERTE

INSTALLATION GEHEN.

PROGNOSE NR. 2

„INTERNET OF THINGS“ & PUBLIC KEY INFRASTRUKTUR – PROGNOSEN

PROGNOSE NR. 2PKI WIRD DEM „CLOUDIFICATION OF IOT“-TREND FOLGEN

„INTERNET OF THINGS“ & PUBLIC KEY INFRASTRUKTUR – PROGNOSEN

QUELLE: THALES PONEMON 2016 PKI TREND STUDY

• Die Angst vor der Nutzung von Cloud-Diensten sinkt

• Neue Geschäftsmodelle (Office 365, AWS, …)

• Mehr und mehr Regulatorien schaffen eine

Vertrauensgrundlage

• Gemäß 2016 Thales/Ponemon-Studie ist „Cloud based

Services“ der #1-Trend

• „PKI-as-a-Service“ ist schon seit Jahren eine der

etablierten Cloud-Dienste

PKI - Sicherheit für das Internet der Dinge 10

» WAS DIE IOT-SICHERHEITSVORFÄLLE BETRIFFT,

SO WIRD ES ERST NOCH SCHLIMMER,

BEVOR EINE BESSERUNG EINTRITT!

PROGNOSE NR. 3

„INTERNET OF THINGS“ & PUBLIC KEY INFRASTRUKTUR – PROGNOSEN

PROGNOSE NR. 3IOT-SICHERHEITSVORFÄLLE

„INTERNET OF THINGS“ & PUBLIC KEY INFRASTRUKTUR – PROGNOSEN

QUELLE: THE GUARDIAN 11/ 2016 QUELLE: KREBS ON SECURITY 10/2016 QUELLE: THE NEW YORK TIMES 11/2016

PKI - Sicherheit für das Internet der Dinge 12

• Die PKI liefert vertrauenswürdige Zertifikate, die:

• eine Identität, z. B. eines Gerätes, an einen kryptografischen Schlüssel binden

• zur Authentifizierung von Geräten genutzt werden können

• zur Erstellung einer digitalen Signatur für Nachrichten-Integrität oder Code-Signing genutzt werden können

• zur Ver- und Entschlüsselung von Daten, Information oder auch Programmcode genutzt werden können

• von vielen Herstellern schon heute angewandt werden im Rahmen von:

• Toolkits

• Software-Bibliotheken

• Sicherheitstoken

• Hardware-Sicherheitsmodule

DIE GRUNDLAGEN EINER PKI FÜR DAS IOTWAS LEISTET DIE PKI HEUTE?

„INTERNET OF THINGS“ & PUBLIC KEY INFRASTRUKTUR – KEINE „ALLTÄGLICHE“ UNTERNEHMENS-PKI

PKI - Sicherheit für das Internet der Dinge 13

Die Herauforderungen

• Wie kann ich die Daten von IoT-Systemen schützen, sowohl bei der Generierung als auch bei der Verarbeitung?

• Wie kann ich sicher sein das Daten und Informationen sowie Software und Programme nicht manipuliert wurden?

• Wie kann ich auf gesicherte Art und Weise Daten, Informationen und Software austauschen?

IoT-spezifische Aspekte

• Eine PKI für IoT-Systeme muss eine breites Spektrum an Geräteeigenschaften abdecken

• IoT-Geräte besitzen eine breite Vielfalt ein Eigenschaften (CPU, Speicher, I/O-Kanäle, kryptografische Fähigkeiten etc.)

• Besitz- und Einsatzverhältnisse von IoT-Geräten sind sehr unterschiedlich:

• Endverbraucherbereich mit in sich geschlossenem System

• Endverbraucherbereich mit offenen Systemen

• Unternehmensnutzung im Office-Bereich

• Unternehmensnutzung im industriellen Bereich

OFFENE PUNKTE IN DER IOT WELT WAS MUSS EINE PKI ZUKÜNFTIG LEISTEN?

„INTERNET OF THINGS“ & PUBLIC KEY INFRASTRUKTUR – KEINE „ALLTÄGLICHE“ UNTERNEHMENS-PKI

PKI - Sicherheit für das Internet der Dinge 14

• Ein PKI-Vertrauensmodell definiert die Parteien, die der PKI vertrauen.

• Es wird unterschieden zwischen offenen und geschlossenen Vertrauensmodellen.

• Offene Vertrauensmodelle:

Geräte befinden sich in öffentlicher oder privater Nutzung und werden nicht zentral verwaltet.

• Geschlossene Vertrauensmodelle:

Geräte befinden sich in privater Nutzung und werden zentral verwaltet.

• Hybride Vertrauensmodelle:

Geräte aus unterschiedlichen Modellen finden sich in einem System zusammen.

• Sicherheit und Vertrauen in IoT-Zertifikate muss durch entsprechende bekannte Maßnahmen unterlegt sein.

• Die „Spielregeln“ der IoT-PKI müssen durch entsprechende Dokumente belegt werden:

• Definition des Sicherheitsniveaus durch entsprechende Zertifizierungsrichtlinie (Certificate Policy – CP)

• Erklärung zum Zertifizierungsbetrieb (Certification Practice Statement – CPS) für die Zertifizierungsstelle (CA)

• Regelmäßige Überprüfung der Einhaltung der definierten Policies durch Audits

OFFENE PUNKTE IN DER IOT WELT VERTRAUENSMODELLE

„INTERNET OF THINGS“ & PUBLIC KEY INFRASTRUKTUR – KEINE „ALLTÄGLICHE“ UNTERNEHMENS-PKI

PKI - Sicherheit für das Internet der Dinge 15

Infrastruktur, Skalierung und Verfügbarkeit

Im Bereich von IoT ist eine genaue Planung der Infrastruktur notwendig:

• Online- oder Offline-System

• Verfügbarkeit der PKI-Komponenten und deren Ausbildung

• Elastizität bezogen auf I/O-Punkte

• Bereitstellung und Verteilung von Sperrlisten und Validierungsdiensten

Kryptografie

• Kann aufgrund von Hardware-Limitierungen eingeschränkt sein, bezogen auf Algorithmen und Schlüssellängen

(kann sich durch neue Standards und Verordnungen verändern)

• Kann durch Sicherheitsrichtlinien vorgegeben werden

• Ein grundlegender wichtiger Bereich ist die Generation von kryptografischem Schlüsselmaterial

OFFENE PUNKTE IN DER IOT WELT

„INTERNET OF THINGS“ & PUBLIC KEY INFRASTRUKTUR – KEINE „ALLTÄGLICHE“ UNTERNEHMENS-PKI

PKI - Sicherheit für das Internet der Dinge 16

IOT-SPEZIFISCHE ASPEKTEPLANUNG DES LEBENSZYKLUS

„INTERNET OF THINGS“ & PUBLIC KEY INFRASTRUKTUR – KEINE „ALLTÄGLICHE“ UNTERNEHMENS-PKI

PKI

PKI - Sicherheit für das Internet der Dinge 17

IIOT-SICHERHEIT EIN MEHRSTUFIGES KONZEPT MIT NEUEN ASPEKTEN

„INTERNET OF THINGS“ & PUBLIC KEY INFRASTRUKTUR – EIN ANWENDUNGSFALL

Werkschutz

Netzwerkschutz

Systemsicherheit

• IIoT-Sicherheit ist ein mehrstufiges Konzept

• Infrastruktur und Kommunikationssicherheit sind

wichtige Eckpfeiler

• Systemsicherheit erhält hierbei einen stärkeren

Fokus:

• Authentisierung

• Autorisierung

• Patch-Management

• Systemstabilität

PKI - Sicherheit für das Internet der Dinge 18

PKI – DIE GRUNDLAGESYSTEMSICHERHEIT DURCH SICHERE INFRASTRUKTUR

Komponentenfertigung Endmontage

Root CAHSM

Sub Root CA1Sub Root

CA2

Directory

Service

RA

Gerä

te-

ID

Gerä

te

Zertifik

at

SW Repos.

RA

Maschin

en

-ID

Maschin

en

Zertifik

at

Firm

ware

Softw

are

„INTERNET OF THINGS“ & PUBLIC KEY INFRASTRUKTUR – EIN ANWENDUNGSFALL

Wirkbetrieb

PKI - Sicherheit für das Internet der Dinge 19

SICHERER DIAGNOSE-ZUGRIFF AUCH DURCH DRITTE SERVICEPARTNER MÖGLICH

„INTERNET OF THINGS“ & PUBLIC KEY INFRASTRUKTUR – USE CASE 1

Directory Service

Externer Partner Externer Partner

PKI - Sicherheit für das Internet der Dinge 20

SICHERHEIT DER MASCHINE ZUGRIFF NUR DURCH AUTORISIERTE PERSONEN

„INTERNET OF THINGS“ & PUBLIC KEY INFRASTRUKTUR – USE CASE 2

PKI - Sicherheit für das Internet der Dinge 21

SICHERER SOFTWARE-UPDATE-PROZESSONLINE ODER OFFLINE DURCH CODE-SIGNING ABGESICHERT

„INTERNET OF THINGS“ & PUBLIC KEY INFRASTRUKTUR – USE CASE 3

Directory Service

SW Repos.

PKI - Sicherheit für das Internet der Dinge 22

» PKI IST DIE GRUNDLAGE DES VERTRAUENS

» KONZEPTE SIND BEKANNT

» UMSETZUNG IST GEFRAGT

INTERNET OF THINGS“ & PUBLIC KEY INFRASTRUKTUR

PHONE //

FAX //

E-MAIL //

SOFTLINE SOLUTIONS GMBH | GUTENBERG-GALERIE | GUTENBERGPLATZ 1 | 04103 LEIPZIG

PHONE // +49 341 24051-0, FAX // +49 341 24051-199, E-MAIL // LEIPZIG@SOFTLINE-GROUP.COM

Ulf Seifert // Security Principal Senior Consultant

+49 341 24051-0

+49 341 24051-199

It-sicherheit@softline-group.com