GlobalSign 新闻中心

23 2018

为什么PKI将在未来数年内确保物联网的安全

距今4000年左右,古老的密码学在埃及诞生了。历史学家认为,这种技术是由牧师发明的,用来替代象形文字。在希腊,人们相信古代斯巴达军队也依赖密码学,尽管目前还不清楚它是用于加密,认证还是避免不良预兆。这在人类历史上是一个奇迹。

经历数千年的发展,一直到现代密码学诞生于20世纪70年代。

它出现在1976年,当Whitfield DiffieMartin Hellman(许多人不知道,最初由Ralph Merkle概念化)发表了关于密钥协议的论文。本文讨论的概念,密码学中的新方向,今天仍然非常有用,并形成了公钥密码学的起源。然而,现在相信是一位英国工程师John Ellis1969年秘密发明了公钥密码系统。这个信息被分类到1997年。

一年后发表的另一篇文章,意义更大。1977年,Ronald RivestAdi ShamirLeonard Adleman三人(RSA的创始人)发表了一种获取数字签名和公钥密码系统的方法。本文讨论的关键传输方案和数字签名算法仍然被认为是现代密码学的基石,并成为今天已知的公钥基础设施(PKI)的基础。

此外,国家标准与技术研究院(NIST)此时还公布了数据加密标准(DES)(1977年出版),作为FIPS PUB 46.此标准现在已被取消。

现代密码学的这三次飞跃是安全行业的真正开端。PKI便从这里起飞。

消除PKI的一些关于物联网的常见误解

一旦实施,PKI就被用于许多目的,并在20世纪90年代后期发展电子签名方面发挥了作用。它也被用于一般应用,如驾驶执照,护照和员工证徽章。今天,PKI构成了可信万维网的基础。传输层安全或TLS用于加密和保护实体和网站之间的通信,在线支付和交易等。谷歌和Mozilla等浏览器厂商一直在努力将网站转移到HTTPS

尽管PKI取得了许多成功,但它也有批评者。但是,我坚信PKI绝对是物联网安全的前进方向。让我通过消除关于PKI的一些关于物联网的常见误解来解决这个问题。

误区一:PKI无法扩展以保护数十亿物联网设备

事实:为物联网扩展PKI与扩展企业PKI解决方案非常不同。但是,IoTPKI不一定需要扩大公共CA基础架构。物联网设备目前部署在大多数封闭的私有生态系统或混合半封闭生态系统中,其中边缘网关需要公共PKI层次结构,而边缘节点依赖于单独的专用层次结构。几家PKI供应商已经向您展示了如何扩大PKI生态系统,从而能够发布和管理数十亿台设备证书。

误区二:PKI无法缩小以运行并保护受约束的物联网设备

真相:在这里,我们实际上是在谈论PKI的底层技术,即非对称密码。确实,属于TLS握手一部分的非对称加密操作既花时间又是计算密集型的。但是,随着椭圆曲线密码学的出现,ECC密钥被用作物联网设备身份的根源。

256位ECC密钥提供与3072RSA密钥相同的加密强度,但生成成本较低。 CPU周期以及所需的内存占用空间也较低,从而使SSL证书处理时间提高了200%。ECC支持现在的操作系统,在SSL库和加密软件堆栈中是通用的。因此,受限的物联网设备现在可以更轻松地生成自己的私钥,执行验证操作并且更安全,同时使用更少的CPU和内存,从而节省能源。这对电池供电的设备尤其重要。

另一点是围绕对协议的支持。各种协议正在成为物联网设备的标准化。通过约束应用协议(CoAP)和轻量机器对机器(LWM2M)协议的安全传输注册(EST)越来越多地用于物联网设备,这些设备支持本地PKI

误区三:由于物联网设备的异构性,PKI不适用

事实:截至今日,数以亿计的有线电视盒,自动柜员机,手机LTE塔,电视接收器和智能电表已经部署了数字证书,形成了他们的身份核心。但是,物联网设备使用PKI的标准并不多。因此,设备制造商和架构师正在大量借鉴IT标准,通常来自IEEE 802.x系列标准。物联网仍然是互联网。因此,管理个人电脑,手机和服务器身份的许多标准都可以很容易地修改,以适应物联网设备。

这确实需要来自证书颁发机构和浏览器论坛(CA / B)等机构的一些工作。但是,物联网并不存在这样的机构。因此,行业联盟正在联合起来为其垂直采用给定标准。这有助于创建垂直整合的物联网安全解决方案。 PKI通常是他们建立身份的首选技术。

PKI的另一个证明是它可以很好地融入到设备架构中,就像瑞士军刀一样。大多数物联网设备制造商应该在其设备中包含一个基于硬件的信任根(ROT)。这可以是可信平台模块(TPM)设备,物理不可克隆功能(PUF)或其他安全微控制器(MCU)或安全芯片。这些芯片供应商正在积极开发,未来或将加密堆栈集成到他们的产品中,以便它们可以与设备证书或至少非对称加密(公钥私钥对)结合使用。

这样做可以确保芯片拥有自己的私有身份,而设备证书形成了公共身份。由于该凭证在软件环境中已被广泛接受,设备应能够与各种第三方系统进行“通话”。

误区四:PKI不像IT领域那样享受物联网领域的生态系统

事实:这是部分正确的。但是,原因在于目前没有成熟的物联网生态系统那样的东西。如果我们看看产品趋势,所有主要的公共云提供商现在都拥有物联网播放功能。 Amazon Web ServicesAWSIoTMicrosoft Azure IoT HubGoogle Cloud IoT CoreARM Mbed Cloud是一些大型PaaS供应商,它们还提供物联网设备管理功能。所有这些供应商现在都需要为连接到每个物联网设备增加某种唯一标识符。他们的主要选择设备证书。所有这些也支持“带上您自己的证书颁发机构”(BYOC)或程序。这使得设备制造商可以轻松地将他们的PKI供应商选择到这些云平台中。

误区五:PKI将无法抵挡计算的量子时代

事实:虽然在这个话题上有很多讨论,但在这里没有一致的答案。量子计算并不是普遍理解的,它的应用更是如此。虽然许多人都在计算速度方面取得突破,包括能够轻松破解ECC密钥,但事实仍然是没有太多证据证明何时以及如何有效地实现这一点。这在未来有可能影响PKI的技术。密码学方面的研究进展将有望提出技术来缓解后量子加速算法所带来的未来风险。

展望未来:PKI +区块链

区块链是一种潜在的革命性技术,会破坏当前的许多技术。 在解释区块链是什么以及其潜在影响超出了本文的范围时,我们当然可以讨论其对PKI的影响。

许多人声称,区块链及其分布式和分布式系统将拼出一个集中的可信第三方,如证书颁发机构。我不同意这个观点。我相信区块链和PKI是非常互补的,它们将共同解决每一项技术的许多缺陷。区块链的分布式是一个很好的存储机制,它是不可变的,因此是PKI证书透明度或CT日志和撤销列表的良好候选者。它跨多个节点复制,因此可以更容易地用于边缘物联网设备。

最后,我们可以使用区块链形成一个点对点的信任网络,类似于今天WWW的情况。然而,第一块区块链比特币区块链依赖于参与者的匿名性,而身份是任何物联网生态系统的核心。物联网设备的识别,分类,分组和管理是一项基本的系统要求。因此,我们将看到采用PKI作为设备凭证的混合体系结构,但Blockchain将用于任何交易和记录管理信息。

此外,我们还将看到PKI系统具有接入区块链的接口,两者将合并为一个联合设备生态系统管理解决方案。这是我看到的市场和技术的走向。要使物联网区块链取得成功,他们必须依靠PKI

在世纪之交,有许多关于最终将取代数十年的PKI的下一代技术的讨论。今天我们有类似谷歌这样的供应商正在推动将所有网站转换为受证书保护的域名。类似区块链这样的破坏者将依靠PKI来满足设备身份需求。加密研究人员将提出新的后量子算法。有一件事是肯定的,我们今天所知道的PKI将会改变和发展。
返回 GlobalSign 新闻中心