АПАРАТНИЙ ЗАХИСТ ВУЗЛІВ ІНТЕРНЕТУ РЕЧЕЙ ВІД КІБЕРАТАК

28.04.2024 |

У статті розглянуті особливості та переваги апаратного захисту вузлів Інтернету речей від кібератак

С. Віто, Р. Мучсел, Д. Луміс

 

Сьогодні у світі підключено більше десяти міль­ярдів вузлів Інтернету речей (IoT), що в десять разів більше, ніж десять років тому, і така тенденція за прогнозами буде зберігатися і в майбутньому. З цим зростанням відбувається таке ж зростання кібератак на системи Інтернету речей. Орієнтовна річна вартість втрат від таких кібератак коливається від десятків мільярдів доларів до понад трильйона, і вона також продовжує зростати. Таким чином, для продовження успішного розвитку IoT суттєво важли­вим є питання їх безпеки. Безпека IoT починається з безпеки їх вузлів.Жодна компанія не хоче, щоб її си­стему IoT «було зруйновано, а дані клієнта було вкрадено». Більше того, на підключені і діючі при­строї IoT поширюються державні норми безпеки, такі як правила FDA, Європейський закон про захист кібернетичної інформації, вимоги США та ЄС щодо кібербезпеки для критично важливої інфраструкту­ри Industry 4.0, а також останні стандарти для авто­мобільної промисловості. Ці документи вимагають високого рівня безпеки, але не передбачають явно­го використання апаратної безпеки IoT. Враховуючи те, що вузли IoT, як правило, є складними, оптимізо- ваними за ціною пристроями, це створює проблеми з оптимізацією безпеки та вартості.

Створення безпечних вузлів ІоТза допомо­гою технології “притулку довіри” (Roof of Trust). Як можна створити економічно ефективний, та од­ночасно безпечний вузол IoT? Створення захищено­го вузла IoT починається з “притулку довіри”. Апа­ратний засіб “притулок довіри” (рис. 1), є основою, від якої залежать усі безпечні операції обчислюваль­ної системи. Він містить ключі, які використовуються для криптографічних функцій, і забезпечує безпеч­ний процес завантаження. Це може бути інтеграль­на мікросхема (ІМС), яка призначена для надання послуг, пов’язаних із безпекою, для вузла IoT. При­кладами таких функцій є шифрування даних для збереження конфіденційності та цифрові підписи для забезпечення автентичності та цілісності інфор­мації. Кінцевою метою “притулку довіри” є забезпе­чення захисту секретних ключів, які використо­вуються для шифрування даних або цифрових під­писів від розголошення.

Рис.1. Концепція апаратного захисту “коріння довіри”

Найбільшою проблемою для ІМС “притулку дові­ри” є їх стійкість проти фізичних атак, таких як пряме сканування та атаки по бічному або хибному каналу.На жаль, технології організації пам’яті, які зазви­чай використовуються в мікроконтролерах загаль­ного призначення (наприклад, EEPROM або Flash), не є безпечними. Зловмисник може безпосередньо спостерігати за вмістом пам’яті за допомогою ска­нуючої електронної системи. Напівпровідникова промисловість розробила технологію фізично неклонованої функції (PUF), щоб зменшити цей ризик (рис. 2). Фізично неклонована функція – це функція, що не підлягає клонуванню (або – фізичний об’єкт, операція якого не може бути відтворена (клонована) фізичним способом). Таким чином, ця функція слу­жить унікальним ідентифікатором для пристрою, що підлягає захисту від кібератак. У випадку апаратного захисту вузла IoT функція PUF використовується для отримання унікального ключа, виходячи з внутрішніх властивостей ІМС захисту. Це робить практично не­можливим вилучення секретного ключа через пряме сканування. У деяких випадках ключ, отриманий за допомогою PUF, шифрує решту внутрішньої пам’яті “притулку довіри” і, отже, захищає всі інші ключі та облікові дані, що зберігаються у пристрої.

Рис. 2. Технологія PUF, що знижує ризик від прямого сканування ІМС захисту

 

Атаки з бічних або хибних каналів. Ці атаки ви­користовують той факт, що ІМС, як правило, пропус­кають сигнатуру даних, якими вони маніпулюють, наприклад, через джерело живлення, теплове або радіовипромінювання. Висока кореляція між виміря­ними сигналами та обробленими даними може при­звести до успішного визначення секретного ключа після не досить складного статистичного аналізу, коли ІМС використовує цей ключ, наприклад, для дешифрування даних. Технологія на базі “притулку довіри” призначена для запобігання такому витоку даних за допомогою різних контрзаходів.

Рис. 3. Автентифікація інсулінового насоса спрощений приклад роботи ІМС “притулку довіри”

 

Приклад застосування ІМС безпеки. Переваги апаратного “притулку довіри” стають очевидними у захищених засобах, один з яких наведено на рис. 3. У таких ІМС використовується простий протокол автентифікації виклик/відповідь, а саме:

  1. Лічильник запитує відповідь від інсулінового насоса, готуючись до надсилання команди.
  2. Інсуліновий насос звертається до лічильника (запитувача) за допомогою випадкового числа R.
  3. Лічильник використовує свій особистий ключ для підпису команди, випадкового числа Rі деякого фіксованого доповнення. Ця операція переноситься у ІМС “притулку довіри” лічильника.
  4. Інсуліновий насос перевіряє правильність під­пису та те саме випадкове число R, яке було наді­сланораніше, щоб уникнути повторного надсилання правильної команди. Ця операція переноситься в ІМС “притулку довіри” інсулінового насоса.

Крім того, що кожна нова спроба надіслати команду вимагає нового випадкового числа, безпе­ка даного протоколу залежить від секретності за­критого ключа, який використовується для автори­зації команд, і цілісності відкритого ключа, який використовується для перевірки авторизації. Якби ці ключі зберігалися всередині звичайних мікроконтролерів, їх можна було б вилучити або маніпулювати ними, а також виготовити підроблені лічильники чи насоси, що потенційно загрожує безпеці пацієнтів. У наведеному прикладі використання ІМС “притулку довіри” значно ускладнює маніпулювання облікови­ми даними або підробку протоколу зв’язку.

Переваги мікросхем безпеки.Загалом, надійний захист пристрою призведе до того, що вартість його зламу буде набагато вищою, ніж потенційна винаго­рода для зловмисника. Переваги апаратної реаліза­ції захисту, що покладаються на ІМС безпеки, суттє­ві, а саме:

  1. Організація безпеки IoT- це постійна бороть­ба між кібератакою і протидією. Методи атак постій­но вдосконалюються, але в той же час постачальни­ки ІМС безпеки продовжують покращувати нові за­соби протидії. Тому злам ІМС безпеки залишається надзвичайно складним та дорогим для зловмисни­ків. Безпеку підключеного пристрою можна постійно підвищувати шляхом модернізації ІМС безпеки. Це не так складно та не потребує великих витрат.
  2. Концентрація критично важливих функцій у на­дійному, захищеному від несанкціонованого досту­пу фізичному середовищі, відокремленому від про­цесора, дозволяє легше перевірити безпеку під час оцінки відповідності нормативним вимогам. Апарат­на ізоляція потоків даних також ускладнює викори­стання слабких місць у процесорі пристрою, які дуже важко виявити та повністю усунути у процесі виробництва. Таким чином, організація безпеки вузла Інтернету речей протягом усього життєвого циклу буде простішою, якщо виробник обладнання завчасно вбудує в нього ІМСбезпеки. Клонування вузлів такого обладнання стає набагато складнішим для зловмисників.

ВИСНОВКИ

У системах Інтернету речей багато складних компонентів, їх захист від кібератак доцільно забез­печувати ще на етапі проєктування та виробництва. Апаратний захист вузлів IoT не є єдиним кроком в організації безпеки системи Інтернету речей в ціло­му, але цей крок є необхідним для надійного захисту таких систем від кібератак.