PKI muss sich weiterentwickeln
Das IoT bringt ausgesprochen viel Heterogenität mit sich: Was muss man also berücksichtigen, damit eine PKI es mit diesem hohen Grad an Heterogenität aufnehmen kann?
IoT versus Bereitstellung mittels herkömmlicher PKI
Von GMO GlobalSign
(21.05.15) - Wir haben inzwischen etliche Argumente für die Verwendung einer PKI geliefert, wenn es darum geht IoT (Internet der Dinge) sicher bereitzustellen. Dabei haben wir einige Fragen aufgeworfen, die man im Auge behalten sollte, will man eine derartige Lösung in der eigenen Umgebung umsetzen. Hier wollen wir nun einen Blick darauf werfen, was eine derartige PKI-Implementierung beinhalten sollte.
Es gibt zwar eine ganze Reihe früher IoT-Bereitstellungen, die Standard-PKI-Funktionen nutzen, aber mit der wachsenden Zahl und Vielfältigkeit der Geräte, wird PKI in der aktuellen Form eher nicht mehr verwendet werden.
Das IoT bringt ausgesprochen viel Heterogenität mit sich. Was muss man also berücksichtigen, damit eine PKI es mit diesem hohen Grad an Heterogenität aufnehmen kann?
Gültigkeit von Zertifikaten: Kürzer oder länger?
Die eingesetzten Geräte verfügen über unterschiedliche Funktionalitäten oder sie bringen Einschränkungen mit sich. Vielleicht spielen Sie mit dem Gedanken, Zertifikate zu nutzen, die viel länger gültig sind als sonst üblich. Diesen Weg können Sie beispielsweise gehen, wenn Sie die Geräte nicht aktualisieren können, nachdem sie bereitgestellt worden sind. Umgekehrt möchten Sie in einigen Szenarien eventuell keine Widerrufsdienste nutzen, oder Sie haben eine unsicherere oder dynamischere Umgebung und suchen nach kürzeren Zertifikatlaufzeiten mit kontinuierlichen Updates, um das Risiko besser zu steuern.
Wie zukunftssicher....?
Wenn Sie sich für eine längere Gültigkeitsdauer entscheiden, sind Sie möglicherweise gezwungen stärkere als die standardmäßigen Krypto-Algorithmen und Schlüssellängen zu erwägen (z.B. 4096 RSA / NISTP-256), wenn die Lösung einigermaßen zukunftssicher sein soll.
Alternative Algorithmen und Root-Hierarchien
Geräte haben unter Umständen nur begrenzte Verarbeitungs- und Speicherkapazitäten. Sie suchen leistungsfähigere Algorithmen wie ECC zur schnelleren Schlüsselgenerierung und Signierung oder kürzere Root-Hierarchien für eine schnellere Kettenvalidierung.
Sicheres Bootstrapping
Sicheres Bootstrapping im Ökosystem der Dinge ist eine eher heikle Sache. Und je nach Umgebung werden sich die Anforderungsprofile für ein "Bootstrapping des Vertrauens" stark voneinander unterscheiden. Man kann sich beispielsweise dafür entscheiden, vertrauenswürdiges Bootstrapping herzustellen, indem man eine entsprechende Root bereits bei der Herstellung eines Gerätes mit berücksichtigt.
Benutzerdefinierte EKUs
Bereits bereitgestellte Zertifikate müssen gegebenenfalls neue Anwendungsfälle abdecken. Das heißt, ein Unternehmen wird sich eventuell für nicht standardmäßige oder benutzerdefinierte EKUs entscheiden, wenn es um erweiterte Zugangskontrolle oder das Verwalten von Berechtigungen geht.
Flexible Subject Parameter
Schließlich wird auch die Methode, mit der Sie diese Geräte identifizieren und benennen vermutlich nicht den Standards entsprechen. In diesem Falle werden Sie mit hoher Wahrscheinlichkeit Subject Names verwenden (müssen), die mit den Standard-Benennungskonventionen nicht konform sind.
Volumen und Geschwindigkeit
Über die bereits beschriebenen neuartigen Anforderungen an Verschlüsselungs- und Zertifikatmerkmale hinaus, bedeutet eine Bereitstellung im IoT: Es fallen enorme Mengen an, die sehr schnell bereitgestellt werden müssen. Hier darf man getrost eher in Millionen als in Tausenden denken. Traditionelle PKI-Lösungen sind damit überfordert. Um diese hochvolumigen Szenarien zu bewältigen, ist es wichtig, dass PKI-Dienste über wirksame APIs für eine Automatisierung offen sind. Sie müssen zusätzlich die Leistungs- und Verfügbarkeitserfordernisse der vertrauenden Server und Geräte verstehen.
Dies sind nur einige Möglichkeiten, wie PKI sich weiterentwickeln muss will man Umfang und Vielfalt von IoT-Bereitstellungen Rechnung tragen. Die gute Nachricht: Solche Veränderungen sind in greifbarer Nähe, zum Teil werden sie sogar schon eingesetzt. Das Wichtigste ist, eine agile Certificate Authority (CA) zu finden, die bereit und in der Lage ist, sich mit spezifischen Kundenbedürfnissen auseinanderzusetzen und entsprechende Lösungen umzusetzen. (GMO GlobalSign: ra)
GMO GlobalSign: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.