У статті розглянуті особливості та переваги апаратного захисту вузлів Інтернету речей від кібератак
С. Віто, Р. Мучсел, Д. Луміс
Сьогодні у світі підключено більше десяти мільярдів вузлів Інтернету речей (IoT), що в десять разів більше, ніж десять років тому, і така тенденція за прогнозами буде зберігатися і в майбутньому. З цим зростанням відбувається таке ж зростання кібератак на системи Інтернету речей. Орієнтовна річна вартість втрат від таких кібератак коливається від десятків мільярдів доларів до понад трильйона, і вона також продовжує зростати. Таким чином, для продовження успішного розвитку IoT суттєво важливим є питання їх безпеки. Безпека IoT починається з безпеки їх вузлів.Жодна компанія не хоче, щоб її систему IoT «було зруйновано, а дані клієнта було вкрадено». Більше того, на підключені і діючі пристрої IoT поширюються державні норми безпеки, такі як правила FDA, Європейський закон про захист кібернетичної інформації, вимоги США та ЄС щодо кібербезпеки для критично важливої інфраструктури Industry 4.0, а також останні стандарти для автомобільної промисловості. Ці документи вимагають високого рівня безпеки, але не передбачають явного використання апаратної безпеки IoT. Враховуючи те, що вузли IoT, як правило, є складними, оптимізо- ваними за ціною пристроями, це створює проблеми з оптимізацією безпеки та вартості.
Створення безпечних вузлів ІоТза допомогою технології “притулку довіри” (Roof of Trust). Як можна створити економічно ефективний, та одночасно безпечний вузол IoT? Створення захищеного вузла IoT починається з “притулку довіри”. Апаратний засіб “притулок довіри” (рис. 1), є основою, від якої залежать усі безпечні операції обчислювальної системи. Він містить ключі, які використовуються для криптографічних функцій, і забезпечує безпечний процес завантаження. Це може бути інтегральна мікросхема (ІМС), яка призначена для надання послуг, пов’язаних із безпекою, для вузла IoT. Прикладами таких функцій є шифрування даних для збереження конфіденційності та цифрові підписи для забезпечення автентичності та цілісності інформації. Кінцевою метою “притулку довіри” є забезпечення захисту секретних ключів, які використовуються для шифрування даних або цифрових підписів від розголошення.
Рис.1. Концепція апаратного захисту “коріння довіри”
Найбільшою проблемою для ІМС “притулку довіри” є їх стійкість проти фізичних атак, таких як пряме сканування та атаки по бічному або хибному каналу.На жаль, технології організації пам’яті, які зазвичай використовуються в мікроконтролерах загального призначення (наприклад, EEPROM або Flash), не є безпечними. Зловмисник може безпосередньо спостерігати за вмістом пам’яті за допомогою скануючої електронної системи. Напівпровідникова промисловість розробила технологію фізично неклонованої функції (PUF), щоб зменшити цей ризик (рис. 2). Фізично неклонована функція – це функція, що не підлягає клонуванню (або – фізичний об’єкт, операція якого не може бути відтворена (клонована) фізичним способом). Таким чином, ця функція служить унікальним ідентифікатором для пристрою, що підлягає захисту від кібератак. У випадку апаратного захисту вузла IoT функція PUF використовується для отримання унікального ключа, виходячи з внутрішніх властивостей ІМС захисту. Це робить практично неможливим вилучення секретного ключа через пряме сканування. У деяких випадках ключ, отриманий за допомогою PUF, шифрує решту внутрішньої пам’яті “притулку довіри” і, отже, захищає всі інші ключі та облікові дані, що зберігаються у пристрої.
Рис. 2. Технологія PUF, що знижує ризик від прямого сканування ІМС захисту
Атаки з бічних або хибних каналів. Ці атаки використовують той факт, що ІМС, як правило, пропускають сигнатуру даних, якими вони маніпулюють, наприклад, через джерело живлення, теплове або радіовипромінювання. Висока кореляція між виміряними сигналами та обробленими даними може призвести до успішного визначення секретного ключа після не досить складного статистичного аналізу, коли ІМС використовує цей ключ, наприклад, для дешифрування даних. Технологія на базі “притулку довіри” призначена для запобігання такому витоку даних за допомогою різних контрзаходів.
Рис. 3. Автентифікація інсулінового насоса – спрощений приклад роботи ІМС “притулку довіри”
Приклад застосування ІМС безпеки. Переваги апаратного “притулку довіри” стають очевидними у захищених засобах, один з яких наведено на рис. 3. У таких ІМС використовується простий протокол автентифікації виклик/відповідь, а саме:
- Лічильник запитує відповідь від інсулінового насоса, готуючись до надсилання команди.
- Інсуліновий насос звертається до лічильника (запитувача) за допомогою випадкового числа R.
- Лічильник використовує свій особистий ключ для підпису команди, випадкового числа Rі деякого фіксованого доповнення. Ця операція переноситься у ІМС “притулку довіри” лічильника.
- Інсуліновий насос перевіряє правильність підпису та те саме випадкове число R, яке було надісланораніше, щоб уникнути повторного надсилання правильної команди. Ця операція переноситься в ІМС “притулку довіри” інсулінового насоса.
Крім того, що кожна нова спроба надіслати команду вимагає нового випадкового числа, безпека даного протоколу залежить від секретності закритого ключа, який використовується для авторизації команд, і цілісності відкритого ключа, який використовується для перевірки авторизації. Якби ці ключі зберігалися всередині звичайних мікроконтролерів, їх можна було б вилучити або маніпулювати ними, а також виготовити підроблені лічильники чи насоси, що потенційно загрожує безпеці пацієнтів. У наведеному прикладі використання ІМС “притулку довіри” значно ускладнює маніпулювання обліковими даними або підробку протоколу зв’язку.
Переваги мікросхем безпеки.Загалом, надійний захист пристрою призведе до того, що вартість його зламу буде набагато вищою, ніж потенційна винагорода для зловмисника. Переваги апаратної реалізації захисту, що покладаються на ІМС безпеки, суттєві, а саме:
- Організація безпеки IoT- це постійна боротьба між кібератакою і протидією. Методи атак постійно вдосконалюються, але в той же час постачальники ІМС безпеки продовжують покращувати нові засоби протидії. Тому злам ІМС безпеки залишається надзвичайно складним та дорогим для зловмисників. Безпеку підключеного пристрою можна постійно підвищувати шляхом модернізації ІМС безпеки. Це не так складно та не потребує великих витрат.
- Концентрація критично важливих функцій у надійному, захищеному від несанкціонованого доступу фізичному середовищі, відокремленому від процесора, дозволяє легше перевірити безпеку під час оцінки відповідності нормативним вимогам. Апаратна ізоляція потоків даних також ускладнює використання слабких місць у процесорі пристрою, які дуже важко виявити та повністю усунути у процесі виробництва. Таким чином, організація безпеки вузла Інтернету речей протягом усього життєвого циклу буде простішою, якщо виробник обладнання завчасно вбудує в нього ІМСбезпеки. Клонування вузлів такого обладнання стає набагато складнішим для зловмисників.
ВИСНОВКИ
У системах Інтернету речей багато складних компонентів, їх захист від кібератак доцільно забезпечувати ще на етапі проєктування та виробництва. Апаратний захист вузлів IoT не є єдиним кроком в організації безпеки системи Інтернету речей в цілому, але цей крок є необхідним для надійного захисту таких систем від кібератак.