PUBLIC KEY INFRASTRUCTURE (PKI) SICHERHEIT FÜR DAS INTERNET DER DINGE

Transkript

1 PUBLIC KEY INFRASTRUCTURE (PKI) SICHERHEIT FÜR DAS INTERNET DER DINGE Ulf Seifert // Security Principal Senior Consultant

2 SOFTWARE ASSET MANAGEMENT BERATUNG Ganzheitlich Unabhängig Von der strategischen Konzeption über die Implementierung bis zum Betrieb von Technologien und Prozessen Von Herstellern und Large Account Resellern Spezialisiert Mehr als 150 IT-Spezialisten europaweit Erfahrung aus mehr als Projekten PKI - Sicherheit für das Internet der Dinge 2

3 INTERNET OF THINGS VERSUCH EINER DEFINITION DAS INTERNET OF THINGS (IOT) DEFINITION Autonome in ein Gesamtsystem eingebettete Hard- und Software Eindeutige Identifikation des Geräts Netzwerkkommunikation mit Geräten und Menschen Sensoren, Aktoren PKI - Sicherheit für das Internet der Dinge 3

4 INTERNET OF THINGS VERSUCH EINER DEFINITION DAS INTERNET OF THINGS (IOT) NUR EIN HYPE? IoT PKI - Sicherheit für das Internet der Dinge 4

5 INTERNET OF THINGS SICHERHEITSHERAUSFORDERUNGEN WAS BEDEUTET SICHERHEIT IM ZUSAMMENHANG MIT IOT KLASSIKER DER INFORMATIONSSICHERHEIT Verfügbarkeit, Vertraulichkeit, Integrität, Authentizität Datenschutz von betroffenen Personen RESULTIERENDE AUFGABEN Sichere Integration von Geräten in eigene Netzwerke Zugriffskontrolle auf die durch die Geräte erzeugten Informationen Sichere Zwischenspeicherung von Informationen auf den Geräten Sicherstellung der Verlässlichkeit und Glaubwürdigkeit der bereitgestellten Informationen Sichere und zeitnahe Softwareaktualisierung der Geräte PKI - Sicherheit für das Internet der Dinge 5

6 INTERNET OF THINGS & PUBLIC KEY INFRASTRUKTUR PROGNOSEN» PKI WIRD ZU DER ALLGEGENWÄRTIGEN SICHERHEITSTECHNOLOGIE IM IOT-MARKT. (GLOBALSIGN 2016)

7 INTERNET OF THINGS & PUBLIC KEY INFRASTRUKTUR PROGNOSEN» PKI WIRD ALS DIE BEST-PRACTICE-LÖSUNG FÜR DIE IDENTIFIZIERUNG UND AUTHENTIFIZIERUNG UND SICHERE KOMMUNIKATION FÜR IOT DEVICES STEHEN. PROGNOSE NR. 1

8 INTERNET OF THINGS & PUBLIC KEY INFRASTRUKTUR PROGNOSEN PROGNOSE NR. 1 PKI WIRD DIE BEST-PRACTICE-LÖSUNG FÜR IOT»PKI Is Gearing Up for the Internet of Things.«Gartner 2016 IoT-Daten sind wertvoll und müssen geschützt werden. Passwörter und Shared Keys sind nicht die Ideallösung. Die Identität eines Gerätes bedarf der Bindung der Geräte-ID an einen kryptografischen Schlüssel. Digitale Zertifikate und PKI sind klar definierte Standards.»The worldwide Internet of Things market spend will grow from $591.7 billion in 2014 to $1.3 trillion in 2019 with a compound annual growth rate of 17%. The installed base of IoT endpoints will grow from 9.7 billion in 2014 to more than 25.6 billion in 2019, hitting 30 billion in «Verizon 2016 PKI - Sicherheit für das Internet der Dinge 8

9 INTERNET OF THINGS & PUBLIC KEY INFRASTRUKTUR PROGNOSEN» PKI WIRD DEM CLOUDIFICATION OF IOT -TREND FOLGEN UND EBENFALLS IN CLOUD BASIERTE INSTALLATION GEHEN. PROGNOSE NR. 2

10 INTERNET OF THINGS & PUBLIC KEY INFRASTRUKTUR PROGNOSEN PROGNOSE NR. 2 PKI WIRD DEM CLOUDIFICATION OF IOT -TREND FOLGEN Die Angst vor der Nutzung von Cloud-Diensten sinkt Neue Geschäftsmodelle (Office 365, AWS, ) Mehr und mehr Regulatorien schaffen eine Vertrauensgrundlage Gemäß 2016 Thales/Ponemon-Studie ist Cloud based Services der #1-Trend PKI-as-a-Service ist schon seit Jahren eine der etablierten Cloud-Dienste QUELLE: THALES PONEMON 2016 PKI TREND STUDY PKI - Sicherheit für das Internet der Dinge 10

11 INTERNET OF THINGS & PUBLIC KEY INFRASTRUKTUR PROGNOSEN» WAS DIE IOT-SICHERHEITSVORFÄLLE BETRIFFT, SO WIRD ES ERST NOCH SCHLIMMER, BEVOR EINE BESSERUNG EINTRITT! PROGNOSE NR. 3

12 INTERNET OF THINGS & PUBLIC KEY INFRASTRUKTUR PROGNOSEN PROGNOSE NR. 3 IOT-SICHERHEITSVORFÄLLE QUELLE: THE GUARDIAN 11/ 2016 QUELLE: KREBS ON SECURITY 10/2016 QUELLE: THE NEW YORK TIMES 11/2016 PKI - Sicherheit für das Internet der Dinge 12

13 INTERNET OF THINGS & PUBLIC KEY INFRASTRUKTUR KEINE ALLTÄGLICHE UNTERNEHMENS-PKI DIE GRUNDLAGEN EINER PKI FÜR DAS IOT WAS LEISTET DIE PKI HEUTE? Die PKI liefert vertrauenswürdige Zertifikate, die: eine Identität, z. B. eines Gerätes, an einen kryptografischen Schlüssel binden zur Authentifizierung von Geräten genutzt werden können zur Erstellung einer digitalen Signatur für Nachrichten-Integrität oder Code-Signing genutzt werden können zur Ver- und Entschlüsselung von Daten, Information oder auch Programmcode genutzt werden können von vielen Herstellern schon heute angewandt werden im Rahmen von: Toolkits Software-Bibliotheken Sicherheitstoken Hardware-Sicherheitsmodule PKI - Sicherheit für das Internet der Dinge 13

14 INTERNET OF THINGS & PUBLIC KEY INFRASTRUKTUR KEINE ALLTÄGLICHE UNTERNEHMENS-PKI OFFENE PUNKTE IN DER IOT WELT WAS MUSS EINE PKI ZUKÜNFTIG LEISTEN? Die Herauforderungen Wie kann ich die Daten von IoT-Systemen schützen, sowohl bei der Generierung als auch bei der Verarbeitung? Wie kann ich sicher sein das Daten und Informationen sowie Software und Programme nicht manipuliert wurden? Wie kann ich auf gesicherte Art und Weise Daten, Informationen und Software austauschen? IoT-spezifische Aspekte Eine PKI für IoT-Systeme muss eine breites Spektrum an Geräteeigenschaften abdecken IoT-Geräte besitzen eine breite Vielfalt ein Eigenschaften (CPU, Speicher, I/O-Kanäle, kryptografische Fähigkeiten etc.) Besitz- und Einsatzverhältnisse von IoT-Geräten sind sehr unterschiedlich: Endverbraucherbereich mit in sich geschlossenem System Endverbraucherbereich mit offenen Systemen Unternehmensnutzung im Office-Bereich Unternehmensnutzung im industriellen Bereich PKI - Sicherheit für das Internet der Dinge 14

15 INTERNET OF THINGS & PUBLIC KEY INFRASTRUKTUR KEINE ALLTÄGLICHE UNTERNEHMENS-PKI OFFENE PUNKTE IN DER IOT WELT VERTRAUENSMODELLE Ein PKI-Vertrauensmodell definiert die Parteien, die der PKI vertrauen. Es wird unterschieden zwischen offenen und geschlossenen Vertrauensmodellen. Offene Vertrauensmodelle: Geräte befinden sich in öffentlicher oder privater Nutzung und werden nicht zentral verwaltet. Geschlossene Vertrauensmodelle: Geräte befinden sich in privater Nutzung und werden zentral verwaltet. Hybride Vertrauensmodelle: Geräte aus unterschiedlichen Modellen finden sich in einem System zusammen. Sicherheit und Vertrauen in IoT-Zertifikate muss durch entsprechende bekannte Maßnahmen unterlegt sein. Die Spielregeln der IoT-PKI müssen durch entsprechende Dokumente belegt werden: Definition des Sicherheitsniveaus durch entsprechende Zertifizierungsrichtlinie (Certificate Policy CP) Erklärung zum Zertifizierungsbetrieb (Certification Practice Statement CPS) für die Zertifizierungsstelle (CA) Regelmäßige Überprüfung der Einhaltung der definierten Policies durch Audits PKI - Sicherheit für das Internet der Dinge 15

16 INTERNET OF THINGS & PUBLIC KEY INFRASTRUKTUR KEINE ALLTÄGLICHE UNTERNEHMENS-PKI OFFENE PUNKTE IN DER IOT WELT Infrastruktur, Skalierung und Verfügbarkeit Im Bereich von IoT ist eine genaue Planung der Infrastruktur notwendig: Online- oder Offline-System Verfügbarkeit der PKI-Komponenten und deren Ausbildung Elastizität bezogen auf I/O-Punkte Bereitstellung und Verteilung von Sperrlisten und Validierungsdiensten Kryptografie Kann aufgrund von Hardware-Limitierungen eingeschränkt sein, bezogen auf Algorithmen und Schlüssellängen (kann sich durch neue Standards und Verordnungen verändern) Kann durch Sicherheitsrichtlinien vorgegeben werden Ein grundlegender wichtiger Bereich ist die Generation von kryptografischem Schlüsselmaterial PKI - Sicherheit für das Internet der Dinge 16

17 INTERNET OF THINGS & PUBLIC KEY INFRASTRUKTUR KEINE ALLTÄGLICHE UNTERNEHMENS-PKI IOT-SPEZIFISCHE ASPEKTE PLANUNG DES LEBENSZYKLUS PKI PKI - Sicherheit für das Internet der Dinge 17

18 INTERNET OF THINGS & PUBLIC KEY INFRASTRUKTUR EIN ANWENDUNGSFALL IIOT-SICHERHEIT EIN MEHRSTUFIGES KONZEPT MIT NEUEN ASPEKTEN Werkschutz IIoT-Sicherheit ist ein mehrstufiges Konzept Infrastruktur und Kommunikationssicherheit sind wichtige Eckpfeiler Systemsicherheit erhält hierbei einen stärkeren Fokus: Authentisierung Autorisierung Patch-Management Systemstabilität Netzwerkschutz Systemsicherheit PKI - Sicherheit für das Internet der Dinge 18

19 Geräte- ID Maschinen-ID INTERNET OF THINGS & PUBLIC KEY INFRASTRUKTUR EIN ANWENDUNGSFALL PKI DIE GRUNDLAGE SYSTEMSICHERHEIT DURCH SICHERE INFRASTRUKTUR HSM Root CA Sub Root CA1 RA Sub Root CA2 Directory Service RA Geräte Zertifikat SW Repos. Firmware Software Maschinen Zertifikat Komponentenfertigung Endmontage Wirkbetrieb PKI - Sicherheit für das Internet der Dinge 19

20 INTERNET OF THINGS & PUBLIC KEY INFRASTRUKTUR USE CASE 1 SICHERER DIAGNOSE-ZUGRIFF AUCH DURCH DRITTE SERVICEPARTNER MÖGLICH Externer Partner Externer Partner Directory Service PKI - Sicherheit für das Internet der Dinge 20

21 INTERNET OF THINGS & PUBLIC KEY INFRASTRUKTUR USE CASE 2 SICHERHEIT DER MASCHINE ZUGRIFF NUR DURCH AUTORISIERTE PERSONEN PKI - Sicherheit für das Internet der Dinge 21

22 INTERNET OF THINGS & PUBLIC KEY INFRASTRUKTUR USE CASE 3 SICHERER SOFTWARE-UPDATE-PROZESS ONLINE ODER OFFLINE DURCH CODE-SIGNING ABGESICHERT Directory Service SW Repos. PKI - Sicherheit für das Internet der Dinge 22

23 INTERNET OF THINGS & PUBLIC KEY INFRASTRUKTUR» PKI IST DIE GRUNDLAGE DES VERTRAUENS» KONZEPTE SIND BEKANNT» UMSETZUNG IST GEFRAGT

24 Ulf Seifert // Security Principal Senior Consultant PHONE // FAX // // SOFTLINE SOLUTIONS GMBH GUTENBERG-GALERIE GUTENBERGPLATZ LEIPZIG PHONE // , FAX // , // LEIPZIG@SOFTLINE-GROUP.COM