中文 英语

管理设备证书越来越难

由于数十亿个新设备连接到互联网,简单的方法不再工作。

受欢迎程度

随着连接到互联网气球的设备数量,证书管理变得越来越复杂,更为必要,并且显着越来越难以跟踪。

有许多不同的证书用于许多不同的目的,更不用说每个设备的证书是唯一的。而且这些证书的寿命可能各不相同,这使得保持操作证书的有效性更加困难。

“我们看到了组织中使用的钥匙数量的增加,”KeyFactor的主要产品经理Sami Van Vliet表示,最近的演示文稿。公钥通过证书传达公钥,必须管理所有这些证书。

联网设备制造商越来越需要升级他们的证书管理基础设施。由于手工跟踪证书库存管理变得越来越困难,自动化管理系统越来越受欢迎。虽然这对于任何连接的设备都是一个很好的实践,但对安全至关重要的设备必须特别警惕,以维护证书的真实性,因为安全攻击可能威胁生命。

证书的作用
我们和我们的电子设备每天都与无数的不可行的实体互动。虽然我们一般相信我们的电子产品会很好,并且是安全的,但我们隐含地将我们的信任与我们所涉及的设备和人们相信。所以最终用户需要额外的保证,设备和人们是他们声称的人。他们需要有人担保他们的真实性,这是证书的作用。

大多数证书都是基于X.509.标准(它本身就基于更一般Asn.1.语法标准),尽管还有其他选项。无论选择哪个选项,每个检查证书的实体都需要识别该格式。这使得X.509成为了压倒性的热门。

证书可以包含许多具体细节,但在高度上,这是一份证明某人或真正被声称的人的文件。为了建立独立的认证,它可以由证书颁发机构(CA)发布 - 这本身需要高度信任的公司,以便其对真实性的明文来说是可信的。但这是合理的要求,“CA如何知道设备或人是真实的?”

有至少三个级别的CA证书,它们涉及增加对他们保证的组织的信心:

  • 域验证(DV)证书证明特定的Web域是合法的。这些是低成本或免费证书,它们可以在一天左右内获得。他们的一代可以自动化。但它们仅适用于网站,而不是设备。
  • 组织验证(OV)证书进一步确认组织的有效性,这需要人工干预。这里的成本有点高,可能需要多花一到两天的时间。
  • 扩展验证(EV)证书还具有更强大的,需要更多的人类参与,花费更多,并且需要更像一周以获得。它们的价值在于提供最高级别的信任。

证书通常是可作为链接追溯到一些最初可信组织的链条。浏览器证书始终源于公共证书颁发机构(CA),但是设备证书可能不是。高质量的CA证书可能是昂贵的,因此通常的方法是使CA证明该公司。然后,该公司根据该基本证书创建证书。如果有人为公司创建的证书有问题,他们可以总是指向CA-生成的一个并有效地说,“是的,我们是我们与所有这些证书一起担保。但是你可以信任我们以来的CA担任我们。“

但一些设备公司简单地自我认证。较大的公司有更容易的时间,因为它们具有可观察的历史,以及积累的善意,这将是浪费的不负责任(虽然不是不可能的)。“拥有信托证书的中央根源的人必须保证不使用私人钥匙,因为签署敌人的代码,”安全IP架构师迈克布扎说Synopsys对此。如何构建和证明这些证书链条是一种设计决策。

在一个证书可以包含的细节中,将是在公开密钥基础设施(PKI)中使用的公开/私有密钥对的公开密钥。当向另一个系统进行身份验证时,该证书既充当善意的角色,又向另一方传递公钥。但是证书的内容远远不止于此。Keyfactor负责产品管理的高级副总裁马克·汤普森(Mark Thompson)说:“你可以拥有某些字段,比如证书序列号、指纹策略和对象标识。”“它们是否被使用取决于发行者、发行者的客户和接收者的政策。”

证书的颁发是有生命周期的。有效期届满后,该证书将不再被使用。此外,安全漏洞可能会导致组织撤销已损坏的证书,转而颁发一个新的证书。任何这样的证书都可以添加到吊销列表中,并且在身份验证期间,即使证书仍在其生命周期内,也可能被拒绝。

证书也特定于服务或其他目的。不仅仅是任何旧证书都会做到。“只是因为有人可以为你提供证书并不意味着它是为了适当的服务或过程,”网络安全的供应商管理说:Michael Deckert说:西门子eda.并宪章的信托宣传和通信任务领导。

此外,证书可以取决于其他证书。“对于任何版本的IP,你可以说这个版本与另一个版本的IP不兼容,”Simon Rance of Marketing Head克罗斯夫特。“这可以基于不同的证书,无论是信任证书还是加密。我们称之为这些政策。您还可以设置工作流程,如果已标记某些内容,那么其他内容会涉及或触发。“

Web证书与设备证书
Web浏览器具有内置的证书,用于网站访问者。身份验证通常发生在背景中,略有延迟 - 除非似乎是不对劲的。“在浏览器世界中,证书必须由第三方信任。所以每个人都必须同意一般的范式的工作,“汤普森解释道。

当被问及设备证书中应该包含什么内容时,Keyfactor最常见的回答是:“视情况而定。”浏览器证书可能包含比小型物联网设备多得多的信息。设备证书的大小可能相差很大,最大可达4K字节。设备功能的性质及其相关的服务和威胁模型将决定关键内容。而更新的便利性会影响到证书的有效期。

“管理Web服务器周围的使用和策略的证书实际上是与设备上的相同证书,”Thompson继续。“但是您可以使用不同的算法来构建它们。而且您可能有不同的策略,包括或排除不同的字段,以使其更小,使其适合嵌入式设备。“

由于设备交互仅限于少数缔约方 - 可能是设备构建器,某些服务提供商和云托管平台 - 更广泛的证书内容协议不需要。“如果您构建了一组与云平台通信的设备,则可以为此设置所有策略以及您希望如何工作的策略以及如何工作,”Thompson添加。

浏览器和Web服务证书生命周期正在缩小。虽然五年的证书曾经是常见的,但现在他们已经向下移动到30天。“当他们为这些现代Web架构做微型服务部署时,我们也看到缩短了Devops环境的缩短了,”汤普森说,注意到这些证书中的一些证书可能持续一天。“对于嵌入式设备来说,这更难以这样做。”

除了设备中如此频繁更新的开销之外,还存在连接问题。“如果设备在该字段中,它们可能没有连接,或者它是间歇性的,或者您没有可靠的连接或可靠的回调,”KeyFactor的IoT产品管理高级总监Ellen Boehm表示。“因此,高证书更新频率将是非常具有挑战性的。”

设备证书的其他重要作用用于安全引导操作。“有时我们会结合验证在启动设备之前验证固件的签名,”添加了Boehm。

更新证书
当今的空中(OTA)更新可能比以前更容易实现,但它们仍然代表努力和对用户的干扰,具体取决于更新需要安装时间。“一些IOT设备可以在很多年内留下来,”最近演示文稿的高级产品经理Mrugesh Chandarana说。“而且你没有控制它,否则你很难替换那些证书。在这些情况下,人们发行10年,20年,25年的证书,[自以来]它留在这些设备中。“

证书中指定的安全参数也可能随时间而变化。例如,随着攻击策略克服现有保护,加密强度甚至是关键技术可能会发生变化。这可能需要一个新的证书,升级如何处理安全性。这在加密功能在软件中实现的设备中可以是简单的。

但如果它们是在硬件中实现的,那么密钥强度可能可以升级,但交换算法可能不能。例如,硬件加速的RSA操作不能简单地切换到ECC算法,除非这种能力已经内置到硬件中。考虑到一些设备可能会有几十年的寿命,设计师有必要让他们的密码硬件尽可能的具有未来的可靠性。

所有这一切都意味着给定的设备可以在其寿命中进行多个证书替代。如果未来的可追溯性是一个问题,可以通过将证书链接在一起来保留证书历史记录。“在商业领域,有能力将开发,制造和运营证书系在一起,”史蒂夫卡尔森,导演,航空航天和防御解决方案节奏。然后,您从不端行为设备获得的任何反馈都可以追溯到制造商,以及设计问题。“

证书与键
虽然证书和钥匙之间存在关系,但它们绝不是同样的事情。私有和对称密钥永远不会在证书中传送。证书仅传达PKI密钥对的公钥。

PKI键通常仅用于认证,因为它们不起作用以及用于内容加密的对称密钥。认证过程通常包括交换对称会话密钥以在会话的寿命期间加密内容。密钥交换将使用PKI键加密,但是一旦两侧都有必要的对称密钥,那么它就可以用于进一步加密内容。

在可能的情况下,私有和对称密钥将存储在安全的方式中。安全元素和其他形式的信托存储硬件根源,并在内部生成键,但这些键在本机外部永远不会使用。“将私有对称键存储到硬件安全模块中,因此无法得到它,”汤普森说。“并且你将系统放在它周围,以便键永远不会离开硬件安全模块,但它可以安全使用。”

增强证书
设备证书可以应用于设备的许多不同方面。每个设备都有自己的一套证书。

“从信任的硬件根源中,您将为不同应用程序创建私有/公钥对,”Trychain业务负责人Tom Katsioulas说:西门子eda.。“一个人可以保护内存访问。另一个可能是保护存储。第三个可以是保护JTAG和进入芯片所需的动作。那些对你想要保护的东西非常明显。无论你有多少私有公共钥匙对,信任的根源就是总是一样的。“

鉴于将来可能的IOT设备数量,这意味着在需要管理的证书数量中爆炸。它们会根据设备的生命周期而有所不同。

在芯片开发过程中,一个精心管理的过程将涉及每个设计工件在每次修改时被签到。“在这个过程的每一个阶段都附有一个证书,上面写着,‘好吧,这是输入产品,这是输出产品,每个产品上都有签名,’”Synopsys的博尔扎说。“还有,顺便说一句,这里还有那些工具的证书。”

是否将签署最终硅片,即电子文件,无论是否RTL或GDS-II。还必须签署固件和软件。这些签名中的许多签名可以基于常见证书,但如果涉及多个组织,则每个组织可能都有自己的签名证书。

制造是一个单位获得其第一个个人身份的地方,替换可能在开发期间应用的任何证书。“开发人员需要单独的键。那些被改为生产键,以便如果开发人员密钥泄漏,它不能用于生产单位,“IAR Systems的嵌入式安全解决方案总经理Haydn Povey说。设备获取基本ID证书以及各种服务所需的任何其他证书。

一旦设备登机并开始操作,ID证书可以用“永久”ID替换。“工厂配置初始”出生“的设备证书允许您将其他数据添加到标识设备,生产运行或类似的证书中,”Boehm表示。“然后使用该信息在您在现场调试时审核设备,交换初始证书 - 这可能是自签名证书 - 并将证书完全审阅并验证该设备。”

此时的证书主要是关于设备中的软件,而不是硬件。“当您制造某些内容时,您将注入凭据,”Katsioulas说。“并且那些与芯片的固件真的相关。它与物理资产无关。“

在操作期间,除非显式更新,否则键和证书必须保持不变。“取决于你如何做关键链,你也有管理它们,”Katsioulas说。“所以有时你会退出一个关键链,你将为别人生产一个新的关键链。但另一方面,如果变得非常昂贵,您可以在整个生命周期中保持相同的证书。“

更新的原因可以包括证书到期或如果被黑攻击,则撤销证书。每个更新本身也必须签名。签名证书证明更新过程并与设备标识无关。“您可以为多个设备进行一个签名证书,但您应该为每个设备始终具有唯一的身份证书,”注意到汤普森。

设备用户可以添加更多的证书。“例如,医疗设备的制造商将证书放入其中,以便该设备可以返回制造商,并且可以接收更新和维护,调整和批判性,”汤普森解释说。“该设备最终销售给医院。医院本身将在那里提出自己的证书,以便它可以与其电子健康记录系统进行通信。两个不同的证书,两个不同的信任。“

此外,将有与设备连接的任何互联网服务相关的证书,包括服务器开发和维护。Keyfactor的van Vliet说:“现在我们已经有了DevOps的情况,人们正在以越来越快的速度运行服务器。“而这些服务器需要证书。”每个正在使用的服务器可能都有一个证书——可能每个服务器中的每个进程都有一个证书。基于服务器的证书可能比基于设备的证书更频繁地更新。

没有获得证书的一个方面是调试访问,这常常被忽略。“许多人仍然没有锁定JTAG,”波维说。

调试访问是一个非常精致的业务。“JTAG解锁是非常安全的操作,只在非常安全的环境中完成,”Thompson指出。


图1:证书环境的简单视图。不同的证书应用于设备寿命的不同阶段。在开发期间,签署证书证明了各种投入。设计工具可能有自己的证书。在供应期间,设备获得其初始标识,可以在登机期间更换。它还可以为各种Web服务接收其他证书。在操作期间,可以在更新中替换证书,这本身将由证书签名。资料来源:布林师/半导体工程beplay体育下载链接

管理所有证书
这种越来越多的证书是管理挑战所在的位置。历史上,证书已经手动管理 - 即使是网站。长时间寿命,必须更新证书并不是那么难的问题。但随着数量的增殖,并且终身缩短了一些证书,许多组织发现他们不再可以用手合理地管理它们。对于短寿命认证,负责续约的人甚至有一天休假的人可能导致服务变得无法使用,直到人员退货。

想象一下,一个拥有数百种产品的大公司,每一种产品都有多个不同生命周期的证书,每种产品的每个单元都有单独的证书,并且您面临一个非常具有挑战性的手动管理问题。一些公司甚至可能对他们的证书库存(在哪里可以找到该库存,或者当各种证书必须更新时)没有一个完整的处理。

因此,现在可以使用自动证书管理工具来跟踪整个证书范围。

“目标是将所有这些数据放入上下文中,”Cliosoft的Rance说。“当您定义不同的IP时,必须将其分层到元数据中。例如,它是否需要与其他安全IP集成以成为安全子系统?有什么样的信任政策?在汽车中,管理系统知道今年模型的每一块IP,都有工具拍摄的开放。但是今年建造的一辆汽车不会达到市场五年。需要使用新的证书更新IP,并且所有这些都必须进行管理。“

这可以很快变得非常复杂。证书管理系统可以帮助在设置内容时进行完整的证书库存,然后他们可以跟踪所有证书,根据需要续订(除非有原因不续订)。像将来的汽车这样的复杂系统需要自动化以保持系统运行。“OEM可以采用所有这些认证机制,并将生命周期管理软件放在上面,以便能够以汇总方式管理,而不是单独地管理,”Katsioulas说。

禁止处理安全,信任和真实性的一些无法预料的变化,所连接的电子设备制造商需要将证书管理添加到他们的职责列表中。虽然此刻似乎在过渡时,它将在未来几年中成为一个基本要求。

相关的
区块链试图保护供应链
该技术繁琐且可能有缺陷,但它可以在必要时提供一系列保管。
新的和创新的供应链威胁正在出现
但是,处理Thorny假冒问题的更好方法是更好的方法。
唯一识别PCB,子组件和包装
防止整个供应链造假的新方法。
谁在看供应链?
先进包装和异构架构的增殖增加了一些新的风险。



发表评论


(注意:此名称将被公开显示)