Sichere Kommunikation von Edge-Knoten zur Cloud

Nicht überraschend erfordert das Aufsetzen einer sicheren IoT-Lösung mehr Arbeit als das Aufsetzen einer wenig sicheren Lösung. Eine sichere IoT-Implementierung verlangt zumindest das Aufsetzen eines Trusted Server.

Das SSL/TLS-Protokoll (Secure Sockets Layer / Transport Layer Security) wird für die verschlüsselte Kommunikation genutzt, aber TLS ist unsicher, wenn die Infrastruktur nicht auf Zertifikaten des Typs TrustedX.509 (SSL) basiert. Dieses Vertrauen ist die Schlüsselkomponente, die nötig ist, damit TLS sicher ist. Deshalb ist es wichtig, ein Zertifikat auf dem Server zu installieren, dem alle Klienten, die mit dem Server verbunden sind, vertrauen.

Ein Browser, der sich mit dem Server verbindet, benötigt ein installiertes Zertifikat, das von einer bekannten Zertifikatsautorität (CA) unterzeichnet ist. In diesem Fall bedeutet „bekannt“, dass das öffentliche Root-Zertifikat der CA auf dem Browser/Computer, den die Anwender nutzen, vorinstalliert ist. Sie können kostenlose oder bezahlte CA-Dienstleistungen nutzen, um Ihre Server-Zertifikate zu unterzeichnen.

Übertragung des Zertifikats oder ...

Ein Gerät, das sich mit dem Online-Server verbindet, kann eine Kopie des öffentlichen Root-Zertifikats der CA auf dem Gerät behalten. Dieses Zertifikat kann von Ihrem Browser/Computer auf Ihr Gerät übertragen werden.

Das Gerät wird nicht in der Lage sein, das Server-Zertifikat zu validieren (ihm zu vertrauen), wenn auf dem Gerät keine Kopie des öffentlichen Root-Zertifikats der CA vorhanden ist. Das öffentliche Root-Zertifikat der CA ist typischerweise in der Firmware des Geräts eingeschlossen.

Eine Alternative zur Nutzung einer bekannten CA ist es, Ihre eigene CA zu werden und eigene Server-Zertifikate für die Gerätekommunikation zu verwenden. Da Nutzer die volle Kontrolle über das Gerät haben und jeden Zertifikatstyp im Gerät speichern können, einschließlich ihres eigenen öffentlichen Root-Zertifikats, können sie leicht ihr eigenes unterzeichnetes Server-Zertifikat für die Gerätekommunikation nutzen. Ihre eigene CA zu sein ist nicht schwierig, wenn Sie einfach zu nutzende Tools haben.

Einer der Vorteile, wenn Sie die eigene CA für den Austausch von Zertifikaten zwischen dem Server und den Geräteklienten sind, ist dass sich ein ECC-Zertifikat (Elliptic-Curve-Cryptography) für den Server auswählen lässt. Der Vorteil an der Nutzung eines ECC-Zertifikats ist, dass es viel kleiner ist als ein RSA-Zertifikat und daher viel weniger Speicherplatz auf dem Gerät verbraucht während des anfänglichen SSL Handshakes.

Zertifikate mit Trust-Ketten fordern mehr Speicherplatz

SSL-Zertifikate haben einen großen Einfluss auf den Speicherplatz in begrenzten Edge-Knoten. Daher kann die Nutzung eines nicht verketteten ECC-Zertifikats eine Voraussetzung für ein Gerät mit begrenztem Speicher sein. Die meisten bekannten CA-Services unterzeichnen nur RSA-Zertifikate; die kostenlosen/günstigen CA-Anbieter unterzeichnen typischerweise mit einem mittelmäßigen CA-Zertifikat, das eine Trust-Kette benötigt und daher sogar noch mehr Speicher auf dem Gerät verbraucht.

Einer der Vorteile des Mako-Servers ist, dass er als Doppelzertifikats-Server dienen kann, wodurch Browser ein größeres (verkettetes) RSA-Zertifikat erhalten und Geräte ein kleineres (nicht verkettetes) ECC-Zertifikat. Das RSA-Zertifikat kann von einer bekannten CA unterzeichnet werden, während das ECC-Zertifikat vorzugsweise von Ihrer eigenen CA unterzeichnet wird.

Wer mehr erfahren möchten, besucht die IoT-Seite des Mako-Servers. Die Seite enthält Anweisungen für das Aufsetzen eines eigenen sicheren Server und die sichere Verbindung von ARM-Boards (edge-node Geräte) mit dem Cloud-Server.

Hinweis: Der Artikel ist im Original auf derElektronik Praxiserschienen.

* Reinhold Schmid ist Geschäftsführer des Distributors Embedded Tools aus Münster.

(ID:44389884)