ככל שהאינטרנט של הדברים (IoT) מתפתח, נושא האבטחה עובר למרכז הבמה. תקנון הקישוריות והפרוטוקולים שבהם כרוך ה-IoT מגביר את האיום על התקנים, ובאמצעותם על רשתות השירות שאליהן הם מספקים גישה. מספר איומים כבר הפכו ברורים, כגון פריצה לכלי רכב מנועיים דרך מערכות מידע בידורי המחוברות לאינטרנט ומגוון התקפות על התקנים תעשייתיים, ביתיים ואפילו צעצועים.
במקרים רבים הפריצות היו בסיסיות יחסית בגלל אמצעי זהירות חלשים שנקטו היצרנים. ההתקנים נשלחים לעתים קרובות עם סיסמה סטנדרטית וקלה לניחוש. היישומים המשמשים לתכנות התקני IoT מכילים בדרך כלל מידע על מבני הנתונים הפנימיים שלהם, ומספקים לפורצים תחמושת שימושית.
על ידי התמקדות בנקודות קצה והתקני IoT, פורצים יכולים לאפשר מספר סוגי התקפה, החל מתצפית פשוטה להשגת מידע שימושי המתאים להתקפת תשתית גדולה יותר ועד למניפולציה ישירה של ההתקן או הרשת. מה שנדרש הוא ארכיטקטורה עבור התקני IoT הבנויה על בסיס אמון אמיתי.
בסיס אמון אמיתי מבטיח דרך להקמת תקשורת מאובטחת עם משתמשים ויישומים מורשים בלבד, ובכך מקטין את יכולתם של פורצים לשלוח להתקן הודעות שעלולות לפגוע באבטחה. שורש האמון מספק גם אמצעי עבור הרשת עצמה לאימות ההתקן כדי למנוע מפורצים להשתמש בחומרה משלהם כדי לפרוץ לתוך המערכות על ידי התחזות להתקנים שאושרו.
המפתחות וההרשאות המשמשים את הפרוטוקולים המאובטחים צריכים להיות מאוחסנים בזיכרון, אולם אזור זה צריך להיות אזור זיכרון נפרד מזה המשמש את נתוני היישום. כדי להיות מהימנים, לא זו בלבד שהמפתחות וההרשאות האלה צריכים להיות תקפים, אלא גם מוגנים מפני בדיקה על ידי מעגלים מאובטחים בחומרה המונעים קריאה על ידי כל משתמש לא מורשה. מעבדי ההצפנה משלימים את היישום על ידי מתן תמיכה ישירה לפרוטוקולים הדרושים לאימות ותקשורת מאובטחים עם ההתקן מבלי להסתכן בחשיפה של המפתחות וההרשאות הסודיים המלאים לתוכנות אחרות הפועלות בתוך ההתקן.
גם אם נמתחה ביקורת נרחבת על האבטחה הלקויה של מוצרי IoT המוקדמים, תשתיות המבוססות על רעיון בסיס האמון כבר קיימות ונמצאות בייצור המוני. אחת הדוגמאות לכך היא הטלפון הסלולרי הדיגיטלי, שתוכנן לתמוך בתקן GSM ובתקן 3GPP המאוחר יותר, אשר שילב אבטחה חזקה כמרכיב מרכזי בתכנון שלו.
כדי שיוכל לגשת לרשת האלחוטית הסלולרית, כל טלפון חייב לכלול מודול זהות מנוי (SIM) המספק למפעילים את האמצעי כדי לאמת את הטלפון או ההתקן ולתקשר עמו. מבנה חומרה דומה יש למודול המעבד האמין (TPM) שפותח במקור עבור מחשבים אישיים ומשמש כעת במוצרים משובצים כגון מסופי נקודת מכירה (POS). בליבם של מודולים אלה נמצאת ארכיטקטורת תשתית המפתח הציבורי (PKI). זוהי ארכיטקטורה המספקת מספר אמצעים לתמיכה בצרכי האבטחה השונים של התקני IoT שהחלה להופיע לא רק בהתקנים שפותחו עבור טלפונים ומחשבים אישיים, אלא במערכות משובצות דקות יותר.
ארכיטקטורת PKI בנויה סביב הרעיון של הצפנה אסימטרית, שבה נחתמים ונבדקים מסמכים ואובייקטים תוכנתיים אחרים באמצעות שילוב של מפתחות פרטיים וציבוריים. המתמטיקה של ה-PKI מסתמכת על חוסר היכולת להפיק בקלות מפתח פרטי ממפתח ציבורי קשור. את המפתח הציבורי ניתן להפיץ באופן חופשי. על המפתח הפרטי יש להגן. בתוך התקן משובץ, מעבד הצפנה הבנוי באופן מאובטח עם זיכרון מוגן מספק את המצע האידיאלי. דוגמה לכך היא המעבד PIC24FJ128GB204 עם זיכרון RAM על השבב של 128KB ותמיכה בחומרת הצפנה. המעבד הוא חלק ממשפחת המיקרו-בקרים PIC24F GB2 מתוצרת Microchip Technology.
אמצעי מפתח של מעבד מודול אמון בחומרה הוא להבטיח כי כאשר ההתקן מאתחל, הוא מריץ קוד מורשה בלבד וכי גורם חיצוני בלתי ידוע לא פגע בו. הדבר ידוע בשם אתחול מאובטח. כאשר ההתקן מאתחל וקורא את הקוד מתוך זיכרון לקריאה בלבד (ROM) הנמצא בתוכו, הוא בודק כי כל מקטע גדול נחתם על ידי ספק מורשה. הספק משתמש במפתח פרטי כדי לחתום על בלוק הקוד. תהליך חתימה זה יוצר גיבוב חד-כיווני של הקוד עצמו בשילוב עם המפתח הפרטי. רכיב האמון בחומרה בודק את הגיבוב כדי לבדוק את אמינותו. כל שינוי בבסיס הקוד צריך להיות חתום באמצעות מפתח מתאים שמודול האמון בודק לפני שההתקנה או העדכון ממשיכים.
אם ההתקן נתקל בבלוק קוד שנחתם באופן שגוי, הוא יחסום בדרך כלל את טעינת התוכנה שהושפעה מכך, וייתכן שיעבור למצב שחזור המנסה להשיג קוד מורשה מהספק המקורי – אולי תוך חזרה לקוד המפעל המאוחסן ב-ROM – וישלח התרעה לשרת, אם הוא מסוגל לכך.
אף שניתן ליישם כמה צורות של אתחול מאובטח ללא מודול אמון בחומרה, קשה לוודא כי תהליך האתחול ייעצר כראוי אם הפורץ חדר מספיק עמוק לתוך הקושחה. המעבד של מודול האמון בחומרה יכול לאכוף את האבטחה על ידי ביצוע פענוח של חלקים מרכזיים בקושחה בשם המעבד המארח רק בתנאי שהגיבוב נכון ולסרב לשירות הפענוח לכל רכיב תוכנה שאין לו גיבוב או מפתח. עם היכולת להגן על מפתחות על השבב ולמנוע מהם להשתנות או להיקרא על ידי תוקף, מגוון רכיבי ה-FPGA מבוססי הפלאש של Microsemi, כגון SmartFusion 2, יכולים לשמש כדי לתמוך באתחול מאובטח ובפונקציות אבטחה אחרות.
לאחר שההתקן אותחל כראוי, הוא יכול לאמת את עצמו לרשת באמצעות מנגנוני PKI. בדרך כלל, ההתקן יקים תקשורת מאובטחת באמצעות פרוטוקול כמו Transport Layer Security (TLS), המהווה נספח לפרוטוקול ה-HTTP (HyperText Transfer Protocol) הנפוץ. הרשאות חתומות דיגיטלית המאוחסנות בתוך מודול האמון בחומרה מספקות לשרתים מרוחקים את הביטחון שהם מתקשרים עם משאב ידוע. ההרשאה בפועל מאוחסנת בתוך מודול האמון כך שרק הנתונים הנגישים לציבור מסופקים באמצעות הרשת והאפיק הפנימי של ההתקן עצמו כדי למנוע מפורצים לעשות שימוש בטכניקות ציתות.
ללא מודול אמון בחומרה, ייתכן שהפורץ יוכל להשתמש בניתוח לוגי או בהתקן אחר כדי לחטט בזיכרון של ההתקן ולקבל את המפתחות וההרשאות הסודיים שהוא יוכל להשתמש בהם לאחר מכן כדי להתל בשרתי הרשת.
לעומת זאת, התקן ה-IoT צריך להיות בטוח כי הוא מקבל פקודות רק מהתקנים או שרתים אחרים שהוא יכול לסמוך עליהם. על ידי כך שמודול האמון בחומרה בודק את ההרשאות של התקנים אחרים אלה כנגד המפתחות המאוחסנים בזיכרון מוגן, ההתקן יכול להבטיח שהוא מתקשר רק עם מערכות מורשות.
בעוד שפרופילי השירות משתנים עם הזמן, השימוש בחילופי PKI מאפשר להוסיף או למחוק הרשאות. הדבר מבטיח לא רק כי ניתן לשפר את השירותים עם הזמן, אלא גם כי ניתן למחוק מרשימת האמון מערכות אחרות שאינן עוד חלק מהרשת או אשר ידועות כפגועות.
על ידי ניצול הניסיון והתשתית הטכנולוגית שפותחה עבור טלפוניה ומחשוב ניידים, יצרני ה-IoT יכולים להשיג יתרון במתן בסיס מאובטח עבור מוצריהם. זמינותם של התקנים, למשל אלה ממשפחת PIC24 GB2 של Microchip ורכיבי ה-FPGA מבוססי הפלאש מבית Microsemi, מבטיחה ליצרני ה-IoT גישה קלה לטכנולוגיות אלה ומעניקה להם בסיס מוצק לצורכי IoT מאובטח.
Mark Patrick, Mouser Electronics
