Cómo verificar que el hardware es legítimo

Navega tus respuestas
10

Estamos trabajando en un sensor que va a recopilar datos, pasándolos a un teléfono inteligente que luego almacena los datos en una base de datos. Necesito poder verificar que el hardware es legítimo, por lo que los datos que se almacenan en la base de datos también son legítimos.

Mi idea actual es tener una clave secreta almacenada en el hardware, que se encripta y envía cuando el hardware se conecta por primera vez. Si la autenticación falla, se rechazan los siguientes datos.

¿Existe un estándar para autenticar hardware, para evitar que el hardware malicioso se haga pasar por un dispositivo real?

    
pregunta Lukeyb 02.06.2017 - 05:47
fuente

1 respuesta

7

Esto suena como un trabajo para criptografía de clave pública. Firme mensajes desde los dispositivos que valen una clave privada incrustada. Luego verifique en la aplicación móvil y en el servidor al que informan.

Propondría:

  1. Incruste una clave privada única en cada sensor de hardware.
  2. Proporcione un certificado de una autoridad de certificación privada (que usted crea) con el dispositivo.
  3. Coloque la clave pública de la AC en la aplicación del teléfono.
  4. Use la clave privada en el sensor para firmar cada evento de datos e incluya la identidad del sensor y la fecha / hora, y un identificador único en cada evento (para evitar ataques de repetición). Incluya también el certificado con el evento.
  5. Usando la firma y el certificado, la aplicación del teléfono puede verificar que el evento proviene de un sensor legítimo, sin tener ninguna forma de alterar el evento.
  6. La aplicación pasa todo el certificado de evento + firma + a su servidor central, que puede usar la ID única, y la fecha / hora para verificar que el evento no se haya duplicado.

También debe considerar a su atacante: ¿solo van a ver la aplicación del teléfono o intentarán subvertir su sensor? ¿Pueden alterar las lecturas antes de firmarlas (por ejemplo, secador de pelo en un termómetro :-))

    
respondido por el Douglas Leeder 02.06.2017 - 08:24
fuente

Lea otras preguntas en las etiquetas

¿Cuál es el término que se usa cuando se registra un evento en el que un usuario descarga o imprime PHI? ¿Cómo detectar efectivamente un dispositivo rooteado en Android?