Những thách thức khi triển khai PKI cho Internet of Things
Theo ước tính của IDC, đến năm 2020, số lượng các thiết bị IoT trên toàn thế giới sẽ chạm mốc 200 tỷ thiết bị. Quy mô rộng lớn và tốc độ phát triển của các thiết bị IoT đòi hỏi một lớp bảo mật an toàn, đáng tin cậy và được tự động hóa mới có thể đáp ứng được nhu cầu. Hiện nay, việc sử dụng mật mã vẫn là một giải pháp phổ biến và toàn diện nhất. Do đó, các nhóm nghiên cứu về an toàn thông tin (ATTT) cần phát triển mạnh mẽ PKI để có thể đáp ứng được những thách thức trong vấn đề ATTT cho IoT.
PKI - một lớp bảo vệ đáng tin cậy
Việc sử dụng PKI giúp người dùng có thể nhận được nhiều tính năng an toàn, an ninh thông tin cần thiết trong IoT như:
- Xác thực thiết bị: PKI có thể giúp thiết lập xác thực lẫn nhau đối với tất cả các kết nối và cung cấp quyền kiểm soát truy cập. Điều này đảm bảo chỉ có những bên có thẩm quyền mới có thể sử dụng thiết bị và giám sát quá trình vận hành của nó;
- Mã hóa dữ liệu: PKI đảm bảo dữ liệu được mã hóa trong quá trình trao đổi;
- Cung cấp tính toàn vẹn của dữ liệu và hệ thống: PKI giúp xác thực tính toàn vẹn của dữ liệu nhận được và có thể trợ giúp khởi động các thiết bị an toàn, cài đặt cấu hình và bảo vệ IP. Các chứng chỉ số có thể hỗ trợ quản lý, bảo vệ và khắc phục lỗi thiết bị bằng cách xác minh mã bảo vệ và xác thực trên thiết bị thích hợp. Tuy nhiên, để đạt được điều này cần có quy trình tự động hóa phù hợp.
Vấn đề quy mô phát triển PKI cho IoT
Thông thường, các chuyên gia ATTT sẽ liên kết PKI với các quy trình thủ công phức tạp khi cài đặt chứng chỉ số theo chuẩn X.509 lên máy chủ vật lý một cách lần lượt. Do đó, quy trình này thường mất nhiều thời gian.
Quy trình này đang được cải tiến để xác thực và mã hóa máy chủ vật lý, nhưng khi cài đặt một chứng chỉ số tại một thời điểm cần thiết vào các thiết bị IoT sẽ rất khó khăn. Do đó, phương pháp quản lý PKI thông thường trong trường hợp này sẽ không phù hợp. Vì vậy, các quản trị viên ATTT sẽ không cần phải quan tâm đến việc triển khai bảo mật các thiết bị IoT bằng cách này.
Hiện tại, phương pháp tự động hóa PKI đang được phát triển và sẽ trở thành công nghệ hàng đầu cung cấp yêu cầu nhận dạng và mã hóa thông tin cần thiết cho các thiết bị IoT. Tuy nhiên, vẫn còn một số vấn đề cần được giải quyết như: Việc cân bằng các chuẩn về thời gian có hiệu lực của chứng chỉ số với vòng đời của thiết bị; việc cung cấp các chứng chỉ cần thực hiện với quy mô như thế nào; việc quản lý các sự kiện trong vòng đời của chứng chỉ; việc chạy trên các CA chuyên dụng và an toàn; vấn đề an toàn đối với các thiết bị có thể tính toán dữ liệu ở mức thấp. Tất cả những điều này cần thực hiện trong mức chi phí cho phép để đảm bảo không làm tăng quá cao giá thành thiết bị.
Sự tin tưởng của khách hàng
Mỗi thiết bị IoT có một mục đích sử dụng khác nhau, nhưng các tổ chức khi cung cấp các thiết bị có các ứng dụng công khai cần phải có được sự tin tưởng của người dùng. Do vậy, các tổ chức phải cân nhắc về thời gian tồn tại của chứng chỉ số được sử dụng và các yêu cầu khác do các nhà cung cấp chứng chỉ số thiết lập, từ đó đảm bảo rằng, các chứng chỉ số sẽ được cập nhật khi các yêu cầu này thay đổi. Ví dụ, CA /Browser Forum gần đây đã rút ngắn thời hạn hiệu lực tối đa của chứng chỉ số xuống còn 27 tháng. Các nhà sản xuất thiết bị nếu không có khả năng gia hạn chứng chỉ số này trong thời gian đó, cần xem xét thận trọng để đảm bảo vẫn nhận được sự tin tưởng của khách hàng.
Trong nhiều trường hợp, các thiết bị IoT giao tiếp trong các hệ thống khép kín, nghĩa là tính tin cậy trong hệ thống PKI là không bắt buộc. Để đạt được sự tín nhiệm của khách hàng, nhà sản xuất thiết bị cần phải linh hoạt hơn trong cách sử dụng PKI cho các thiết bị, bao gồm cả việc quản lý thời gian sử dụng thiết bị. Việc vận hành một PKI riêng không phải là vấn đề nhỏ, do đó các tổ chức có nhu cầu cần xem xét đến sự phức tạp và chi phí của việc vận hành các hệ thống riêng của họ so với việc thuê một bên thứ ba giàu kinh nghiệm để có nhiều sự lựa chọn đem lại lợi ích tốt nhất.
PKI truyền thống không còn phù hợp với quy mô phát triển của IoT
Việc cung cấp, nhận dạng chứng chỉ
Thông thường, khi các thiết bị được thiết kế tuân theo một trong các tiêu chuẩn đăng ký chứng chỉ số mở phổ biến như SCEP (Simple Certificate Enrollment Protocol) hoặc EST (Enrollment over Secure Transport), thì việc cấp phép chứng chỉ số có thể được đơn giản hóa. Khi đó, chỉ cần sử dụng các giao diện lập trình ứng dụng (Application Programming Interface - API) gắn vào hệ thống của tổ chức và ban hành xử lý theo quy mô lớn, với hàng triệu chứng chỉ số tại một thời điểm. Gần đây, hãng Cisco và DigiCert đã tiến hành thử nghiệm thành công việc sử dụng EST để đăng ký chứng chỉ số trên các thiết bị IoT.
Một yếu tố nữa là khả năng xử lý và năng lực tính toán của thiết bị. Một số thiết bị có thể không có khả năng xử lý để chạy các dịch vụ chứng chỉ số footprint mức cao. Hiện nay, các thiết bị IoT đã được bổ sung các giải pháp điện toán tiêu hao nguồn năng lượng thấp. Tuy nhiên, thách thức lớn nhất nằm ở việc các nhà sản xuất phải hiểu được những tiến bộ công nghệ và cung cấp một cơ chế hợp lý để cập nhật chúng vào trong vòng đời thiết bị.
Ví dụ, các thiết bị sử dụng kết nối tầm ngắn (NFC - Near Field Communications), để làm rõ mức độ giới hạn về nguồn năng lượng mà tính toán mức thấp có thể vượt qua được. Với nguồn năng lượng ít hoặc không có nguồn điện, các thiết bị NFC thực sự có thể sử dụng PKI để bảo vệ nội dung thông tin khỏi việc sửa đổi hoặc xóa. Mặc dù, một số thiết bị này có thể kèm theo yêu cầu chỉ sử dụng trong một số tình huống cố định, nhưng chúng vẫn có thể được trang bị để sử dụng PKI trong suốt vòng đời của thiết bị. Ngoài những tiến bộ trong các thư viện TLS (Transport Layer Security), bản thân các chứng chỉ đã được phát triển để trở thành những công cụ nhẹ có thể cung cấp danh tính và mã hóa.
Hồ sơ chứng chỉ số đã được thu gọn hơn với các phương pháp tạo khóa mới và các định dạng không dựa theo X.509.
Quản lý vòng đời chứng chỉ số
Đây vẫn đang là một thách thức đối với các doanh nghiệp và vấn đề này càng trở nên lớn hơn với các thiết bị IoT. Các tổ chức cần phải tìm cách quản lý các chứng chỉ số của họ theo cách riêng (để xác định các vấn đề và giải quyết các vấn đề đó) và tìm cách sử dụng các công cụ quản lý dựa trên chính sách. Việc thiết lập các hệ thống phát hiện, thu hồi và đổi mới chứng chỉ số phù hợp, đòi hỏi phải có kế hoạch cụ thể.
Việc quản lý một hệ thống PKI không đơn giản. Do đó, nhiều công ty đã tìm đến một bên thứ ba chuyên nghiệp, chẳng hạn như các CA tin cậy, có nhiều năm kinh nghiệm, tuân thủ các tiêu chuẩn ngành, duy trì các cơ sở hạ tầng lớn, đáp ứng được các yêu cầu về an toàn cần thiết cho CA tin cậy, có thiết lập các chính sách và thông lệ. Nếu các tổ chức lựa chọn một hệ thống PKI riêng, họ cũng có thể tham khảo từ một CA tin cậy để giúp thiết lập cơ sở hạ tầng của mình.
Chi phí cho PKI lớn nhất là thiết bị và chuyên gia điều hành CA nội bộ
Chi phí sử dụng PKI cho thiết bị IoT không giống như cho máy chủ web (sử dụng một chứng chỉ số tại một thời điểm). Sự tiết kiệm về quy mô của hệ thống thiết bị IoT giúp giảm đáng kể chi phí khi sử dụng PKI.
Những chi phí lớn nhất cho việc này là chi phí cho nhân viên kỹ thuật bậc cao và thiết bị hỗ trợ để có thể điều hành một CA nội bộ. Tùy thuộc vào quy mô triển khai của tổ chức, họ có thể phải được trang bị môđun phần cứng mật mã (Hardware Security Module - HSM), các hệ thống thu hồi đáng tin cậy và các máy chủ ký cho PKI. Tuy nhiên, trong nhiều trường hợp, chi phí liên quan đến việc quản lý thiết bị, xây dựng chính sách và cơ sở hạ tầng cho CA tại chỗ cao hơn nhiều so với việc thuê bên thứ ba đáng tin cậy. Do đó, các tổ chức cần xem xét kỹ vấn đề này để tối ưu hóa lợi nhuận.
Việc triển khai bảo mật cho các thiết bị IoT là không dễ dàng, nhưng trước yêu cầu của thực tế, nhiều tổ chức đã và đang tiến tới triển khai các giải pháp dựa trên PKI. Tuy nhiên, trước khi triển khai, tổ chức cần tìm kiếm một đối tác có kinh nghiệm trong lĩnh vực này để được hỗ trợ đánh giá nhu cầu và xác định việc triển khai PKI cho IoT hay không.
Jeremy Rowley; Nhật Minh
(biên dịch theo “Evolving PKI for the Internet of Things” trong [IN]SECURE, số 53)