¿Es realmente una buena idea una PKI para el IoT?

18

Estoy leyendo un poco sobre la seguridad de los dispositivos de IoT y encontré muchos artículos que describen cómo una PKI sería una mejora para la infraestructura actual. Sin embargo, no estoy convencido de que configurar una PKI mejore la seguridad en la mayoría de los casos de uso de IoT. Me preguntaba si estaba viendo algo incorrecto. Para dar un ejemplo:

Entiendo cómo los dispositivos de IoT utilizados en los sistemas de control industrial se beneficiarían de una PKI, ya que generalmente se comunican sin la interferencia de los usuarios y, por lo tanto, no pueden usar métodos tradicionales de autenticación como contraseñas, biométricas y tokens.

Para los casos de uso más básicos, como cámaras, microondas o refrigeradores que están conectados a Internet, no veo el valor agregado de una PKI. ¿Estoy pasando por alto algo, o PKI no mejora la seguridad de estos dispositivos?

Editar: algunos ejemplos:

pregunta KojoUzochi 22.01.2018 - 11:11
fuente

1 respuesta

48

Veamos tu nevera. ¿Por qué está conectado a Internet? Podría enviar datos de mantenimiento al fabricante, conectarse a las tiendas para pedirle alimentos o decirle su contenido ("refrigerador, ¿cuántos huevos tengo?").

Si clasifica estos datos como que no tienen impacto si se ven afectados negativamente, entonces sí, una infraestructura masiva como PKI tendría poco valor (el riesgo es bajo).

Pero, no es tan bajo. ¿Imagina a un hacker accediendo a su refrigerador para elevar la temperatura y estropear todo el contenido? ¿Qué pasa con un pirata informático que accede a la nevera y pide toneladas de alimentos en su cuenta? ¿Qué sucede si el tipo de alimento que almacena indica cierta información confidencial sobre usted (solo alimentos kosher o solo carnes halal, de repente no hay más alcohol (¿está embarazada?), O una gran cantidad de jugo de arándano que se consume constantemente (infección del tracto urinario ?)). ¿Qué pasa con las estadísticas sobre la frecuencia con la que se abre la puerta (están los propietarios fuera?) La evaluación de la información de esta manera indica un nivel de riesgo bastante diferente.

PKI (implementado correctamente) puede proteger los datos de control (quién puede ordenar, quién puede acceder, quién puede cambiar la configuración) y puede proteger la información en reposo y la información en tránsito.

Imagine un proceso de encriptación tipo WhatsApp o señal en el que solo los certificados del fabricante o la aplicación de su teléfono puedan acceder a las funciones de control, o incluso a ciertos datos. Ahí es donde PKI puede ser útil.

    
respondido por el schroeder 22.01.2018 - 12:37
fuente

Lea otras preguntas en las etiquetas