IoT versus Bereitstellung mittels herkömmlicher PKI – ein Leitfaden

Was wird aus der Public-Key-Infrastruktur im Internet der Dinge?

| Redakteur: Ulrike Ostler

PKI kann nicht bleiben, wie es ist, ein Leitfaden von Global Sign.
PKI kann nicht bleiben, wie es ist, ein Leitfaden von Global Sign. (Bild: ra2studio/ Fotolia.com)

Es gibt zwar eine ganze Reihe früher Bereitstellungen für das Internet of Things (IoT), die Standard-Funktionen einer Public-Key-Infrastruktur (PKI) nutzen, aber mit der wachsenden Zahl und Vielfältigkeit der Geräte, wird PKI in der aktuellen Form eher nicht mehr verwendet werden. Doch wie sieht ein passendes Verschlüsselungsverfahren dann aus?

Global Sign hat inzwischen etliche Argumente für die Verwendung einer PKI geliefert, wenn es darum geht IoT sicher bereitzustellen. Hier will das Unternehmen den Blick darauf lenken, was eine derartige PKI-Implementierung beinhalten sollte: Was ist also zu berücksichtigen, damit eine PKI es mit dem hohen Grad an Heterogenität aufnehmen kann?

Gültigkeit von Zertifikaten: Kürzer oder länger?

Die eingesetzten Geräte verfügen über unterschiedliche Funktionen oder sie bringen Einschränkungen mit sich. Vielleicht spielen Sie mit dem Gedanken, Zertifikate zu nutzen, die viel länger gültig sind als sonst üblich.

Diesen Weg können Sie beispielsweise gehen, wenn Sie die Geräte nicht aktualisieren können, nachdem sie bereitgestellt worden sind. Umgekehrt möchten Sie in einigen Szenarien eventuell keine Widerrufsdienste nutzen, oder Sie haben eine unsicherere oder dynamischere Umgebung und suchen nach kürzeren Zertifikatlaufzeiten mit kontinuierlichen Updates, um das Risiko besser zu steuern.

Wie zukunftssicher....?

Wenn Sie sich für eine längere Gültigkeitsdauer entscheiden, sind Sie möglicherweise gezwungen stärkere als die standardmäßigen Krypto-Algorithmen und Schlüssellängen zu erwägen, zum Beipsiel 4096 RSA / NISTP-256, wenn die Lösung einigermaßen zukunftssicher sein soll.

Alternative Algorithmen und Root-Hierarchien

Geräte haben unter Umständen nur begrenzte Verarbeitungs- und Speicherkapazitäten. Sie suchen leistungsfähigere Algorithmen wie ECC zur schnelleren Schlüsselgenerierung und Signierung oder kürzere Root-Hierarchien für eine schnellere Kettenvalidierung.

Sicheres Bootstrapping

Sicheres Bootstrapping im Ökosystem der Dinge ist eine eher heikle Sache. Und je nach Umgebung werden sich die Anforderungsprofile für ein „Bootstrapping des Vertrauens“ stark voneinander unterscheiden. Man kann sich beispielsweise dafür entscheiden, vertrauenswürdiges Bootstrapping herzustellen, indem man eine entsprechende Root bereits bei der Herstellung eines Gerätes mit berücksichtigt.

Benutzerdefinierte EKUs

Bereits bereitgestellte Zertifikate müssen gegebenenfalls neue Anwendungsfälle abdecken. Das heißt, ein Unternehmen wird sich eventuell für nicht standardmäßige oder benutzerdefinierte EKUs entscheiden, wenn es um erweiterte Zugangskontrolle oder das Verwalten von Berechtigungen geht.

Flexible Subject Parameter

Schließlich wird auch die Methode, mit der Sie diese Geräte identifizieren und benennen vermutlich nicht den Standards entsprechen. In diesem Falle werden Sie mit hoher Wahrscheinlichkeit Subject Names verwenden (müssen), die mit den Standard-Benennungskonventionen nicht konform sind.

Volumen und Geschwindigkeit

Über die bereits beschriebenen neuartigen Anforderungen an Verschlüsselungs- und Zertifikatmerkmale hinaus, bedeutet eine Bereitstellung im IoT: Es fallen enorme Mengen an, die sehr schnell bereitgestellt werden müssen. Hier darf man getrost eher in Millionen als in Tausenden denken. Traditionelle PKI-Lösungen sind damit überfordert.

Um diese hochvolumigen Szenarien zu bewältigen, ist es wichtig, dass PKI-Dienste über wirksame APIs für eine Automatisierung offen sind. Sie müssen zusätzlich die Leistungs- und Verfügbarkeitserfordernisse der vertrauenden Server und Geräte verstehen.

Dies sind nur einige Möglichkeiten, wie PKI sich weiterentwickeln muss, soll sie Umfang und Vielfalt von IoT-Bereitstellungen Rechnung tragen. Die gute Nachricht: Solche Veränderungen sind in greifbarer Nähe, zum Teil werden sie sogar schon eingesetzt. Das Wichtigste ist, eine agile Certificate Authority (CA) zu finden, die bereit und in der Lage ist, sich mit spezifischen Kundenbedürfnissen auseinanderzusetzen und entsprechende Lösungen umzusetzen.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43361351 / Services)