A tárgyak internete titkosítása diétával heise online

A dolgok internetében a titkosításnak vékonyabbnak kell lennie, de nem lehet mellőzni. Az Internet Mérnöki Munkacsoport a megoldásokért küzd.

tárgyak

Az Internet Engineering Task Force (IETF) azon vitatkozik, hogy egy lecsupaszított TLS-nek (cTLS) vagy egy teljesen új protokollnak kell-e tökéletes titoktartást biztosítania az érzékelők és a kis csomópontok számára. Mert a dolgok internetének (IoT) is titkosított formában kell kommunikálnia.

Biztonságos kulcsok

Mivel az IoT-eszközöknek gazdaságosaknak kell lenniük, a gyártók általában csak gazdaságos processzorokat és kevés RAM-ot adnak nekik. Ezért egy titkosítási protokollnak meg kell takarítania az erőforrásokat. Ennek ellenére gyorsnak is kell lennie. Mert mi történhet, ha az eszközöket és érzékelőket jó védelem nélkül felakasztják a dolgok internetére, ma már jól ismert olyan támadások, mint a Mirai botnet-támadás. Más szabványosítási csoportok mellett az IETF már számos építőkockát bemutatott, többek között a biztonságos szoftverfrissítés módjait az IoT környezetben.

A korlátozott eszközök objektumbiztonságával (OSCORE, RFC 8613) az IETF már rendelkezik egy régebbi titkosítási specifikációval a végpontokhoz, például COAP-környezetekben. A COAP, a kényszerített alkalmazásprotokoll, egy kis csomópontokra szabott webátviteli protokoll, amely körül az IoT számára speciális formátumot, szállítási és titkosítási szabványokat hoznak létre.

Az OSCORE így biztosítja a gépek által kicserélt üzenetek hasznosságát. A fejlécek és a metaadatok csak szelektíven vannak védve. Jelenleg a protokoll elsősorban előre elosztott kulcsokkal működik - mondta Göran Selander, az Ericsson munkatársa. De a korábban generált kulcsok listája népszerű támadási pont - tette hozzá Selander.

Ezért egy új protokollnak lehetővé kell tennie a TLS stílusú kulcscserét, de könnyebbnek kell lennie. A Selander fontos célja az is, hogy a kis csomópontokat élesítse a Tökéletes továbbítás titkosságával (PFS). A PFS célja, hogy megvédje azoknak az eszközöknek a forgalmát, amelyek gyakran sokáig maradnak a terepen, még sikeres támadások vagy rögzített munkamenetek után is.

Takarékosabb TLS-hajtás

Az Ericsson fejlesztője ezért az Ephemeral Diffie-Hellman Over COSE-t (EDHOC) mutatta be az IETF-nek kulcscsere-protokollként. "Az EDHOC biztosítja az ideiglenes, biztonságos kulcsok gazdaságos cseréjét, a kölcsönös hitelesítést, az identitásvédelmet és a tökéletes továbbítási titkot" - ígéri Selander. Az EDHOC az IETF IoT protokollkészletére is épít. A COSE a CBOR aláírási és titkosítási szabványa. **

De a TLS közösség nem adja fel ilyen könnyen. A TLS szakemberei úgy vélik, hogy sok munka és agyerő fordult a TLS fejlesztésére. Egyes IoT-környezetekben a DTLS variánst, amelyet UDP-re is lehet használni, ma már használják. A jelenlegi TLS 1.3-as verzió mindent tartalmaz, amit az IoT fejlesztői szeretnének - egy kivétellel: a kriptográfiai rezsi túl kövérvé teszi a TLS 1.3-at az IoT számára.

Az EDHOC vita ihlette Rescorla most a takarékos offshoot kompakt TLS-n (cTLS) dolgozik. A Rescorla redundáns fejléc-tartalmat azonosított, amelyet törölni lehet a TLS 1.3-ból, és javasolja az alapértelmezett beállítások lehetőség szerinti alkalmazását - minél több az alapértelmezés, annál karcsúbb a tárgyalási szakasz. Mind a kisebb fejlécek, mind az előre beállított értékek együttesen hozzák a kívánt egyszerűsítést. Rescorla szerint a cTLS végső soron TLS jobb kódolással. A TLS 1.3-at pazarlóan tervezték.

A jelenleg épülő könnyűsúlyú hitelesített kulcscsere (LAKE) munkacsoport most két táborra oszlik. Egyelőre mindkét koncepciót párhuzamosan folytatja. Egyrészt sokan jobbnak tartják, ha ragaszkodnak a bevált módszerekhez. Másrészt a TLS kompakt változata a
egyes IoT-alkalmazások még mindig túl igényesek.

[Frissítés]: 19.08.14., 11:15, Göran Selander hozzáteszi: "Az Ericsson semmiképpen sem ellenzi az EDHOC és a cTLS párhuzamos fejlesztését. Mindkettőnek különböző alkalmazási területei vannak, és - amint a találkozó megmutatta - támogatja az OSCORE könnyû kulcscseréit is vékony TLS változat esetén ". Selander azt is hangsúlyozza, hogy a kis csomópontok tökéletes továbbviteli titkolása volt az EDHOC technológia fejlesztésének fő oka. Az EDHOC az OSCORE-t hivatott kiegészíteni, amely az IoT átvitelét végponttól végig biztosítja. Például NB-IoT, LoRaWAN vagy 6TISCH technológián alapuló eszközökhöz használhatók. dz)