ניו-טק מגזין | מאי 2017

IoT מוסף מיוחד

נמצאת ארכיטקטורת תשתית המפתח ). זוהי ארכיטקטורה PKI הציבורי ( המספקת מספר אמצעים לתמיכה בצרכי שהחלה IoT האבטחה השונים של התקני להופיע לא רק בהתקנים שפותחו עבור טלפונים ומחשבים אישיים, אלא במערכות משובצות דקות יותר. בנויה סביב הרעיון PKI ארכיטקטורת של הצפנה אסימטרית, שבה נחתמים ונבדקים מסמכים ואובייקטים תוכנתיים אחרים באמצעות שילוב של מפתחות פרטיים וציבוריים. המתמטיקה של מסתמכת על חוסר היכולת להפיק PKI ה- בקלות מפתח פרטי ממפתח ציבורי קשור. את המפתח הציבורי ניתן להפיץ באופן חופשי. על המפתח הפרטי יש להגן. בתוך התקן משובץ, מעבד הצפנה הבנוי באופן מאובטח עם זיכרון מוגן מספק את המצע האידיאלי. דוגמה לכך היא המעבד על RAM עם זיכרון PIC 24 FJ 128 GB 204 ותמיכה בחומרת הצפנה. 128 KB השבב של המעבד הוא חלק ממשפחת המיקרו- Microchip מתוצרת PIC 24 F GB 2 בקרים . Technology אמצעי מפתח של מעבד מודול אמון בחומרה הוא להבטיח כי כאשר ההתקן מאתחל, הוא מריץ קוד מורשה בלבד וכי גורם חיצוני בלתי ידוע לא פגע בו. הדבר ידוע בשם אתחול מאובטח. כאשר ההתקן מאתחל וקורא את הקוד מתוך זיכרון ) הנמצא בתוכו, הוא ROM לקריאה בלבד ( בודק כי כל מקטע גדול נחתם על ידי ספק מורשה. הספק משתמש במפתח פרטי כדי לחתום על בלוק הקוד. תהליך חתימה זה יוצר גיבוב חד-כיווני של הקוד עצמו בשילוב עם המפתח הפרטי. רכיב האמון בחומרה בודק את הגיבוב כדי לבדוק את

עם משאב ידוע. ההרשאה בפועל מאוחסנת בתוך מודול האמון כך שרק הנתונים הנגישים לציבור מסופקים באמצעות הרשת והאפיק הפנימי של ההתקן עצמו כדי למנוע מפורצים לעשות שימוש בטכניקות ציתות. ללא מודול אמון בחומרה, ייתכן שהפורץ יוכל להשתמש בניתוח לוגי או בהתקן אחר כדי לחטט בזיכרון של ההתקן ולקבל את המפתחות וההרשאות הסודיים שהוא יוכל להשתמש בהם לאחר מכן כדי להתל בשרתי הרשת. צריך להיות IoT לעומת זאת, התקן ה- בטוח כי הוא מקבל פקודות רק מהתקנים או שרתים אחרים שהוא יכול לסמוך עליהם. על ידי כך שמודול האמון בחומרה בודק את ההרשאות של התקנים אחרים אלה כנגד המפתחות המאוחסנים בזיכרון מוגן, ההתקן יכול להבטיח שהוא מתקשר רק עם מערכות מורשות. בעוד שפרופילי השירות משתנים עם הזמן, מאפשר להוסיף או PKI השימוש בחילופי למחוק הרשאות. הדבר מבטיח לא רק כי ניתן לשפר את השירותים עם הזמן, אלא גם כי ניתן למחוק מרשימת האמון מערכות אחרות שאינן עוד חלק מהרשת או אשר ידועות כפגועות. על ידי ניצול הניסיון והתשתית הטכנולוגית שפותחה עבור טלפוניה ומחשוב ניידים, יכולים להשיג יתרון במתן IoT יצרני ה- בסיס מאובטח עבור מוצריהם. זמינותם PIC 24 של התקנים, למשל אלה ממשפחת FPGA ורכיבי ה- Microchip של GB 2 , Microsemi מבוססי הפלאש מבית גישה קלה IoT מבטיחה ליצרני ה- לטכנולוגיות אלה ומעניקה להם בסיס מאובטח. IoT מוצק לצורכי

אמינותו. כל שינוי בבסיס הקוד צריך להיות חתום באמצעות מפתח מתאים שמודול האמון בודק לפני שההתקנה או העדכון ממשיכים. אם ההתקן נתקל בבלוק קוד שנחתם באופן שגוי, הוא יחסום בדרך כלל את טעינת התוכנה שהושפעה מכך, וייתכן שיעבור למצב שחזור המנסה להשיג קוד מורשה מהספק המקורי - אולי תוך חזרה לקוד - וישלח התרעה ROM המפעל המאוחסן ב- לשרת, אם הוא מסוגל לכך. אף שניתן ליישם כמה צורות של אתחול מאובטח ללא מודול אמון בחומרה, קשה לוודא כי תהליך האתחול ייעצר כראוי אם הפורץ חדר מספיק עמוק לתוך הקושחה. המעבד של מודול האמון בחומרה יכול לאכוף את האבטחה על ידי ביצוע פענוח של חלקים מרכזיים בקושחה בשם המעבד המארח רק בתנאי שהגיבוב נכון ולסרב לשירות הפענוח לכל רכיב תוכנה שאין לו גיבוב או מפתח. עם היכולת להגן על מפתחות על השבב ולמנוע מהם להשתנות או להיקרא על ידי תוקף, מגוון רכיבי , Microsemi מבוססי הפלאש של FPGA ה- , יכולים לשמש כדי SmartFusion 2 כגון לתמוך באתחול מאובטח ובפונקציות אבטחה אחרות. לאחר שההתקן אותחל כראוי, הוא יכול לאמת את עצמו לרשת באמצעות מנגנוני . בדרך כלל, ההתקן יקים תקשורת PKI מאובטחת באמצעות פרוטוקול כמו ), המהווה TLS ( Transport Layer Security HyperText ( HTTP נספח לפרוטוקול ה- ) הנפוץ. הרשאות Transfer Protocol חתומות דיגיטלית המאוחסנות בתוך מודול האמון בחומרה מספקות לשרתים מרוחקים את הביטחון שהם מתקשרים • Industrial/Commercial Power Supplies and Converters • Standart or Custom made per customer’s specifications • AC/DC Switching and Linear • External, Wall-Mount & Desk-Top • Compact PCI, Eurobox,VME • Encapsulated DC/DC and AC/DC, On-Board & Chassis Mount • Din-Rail Industrial

International Enertec T h e I s r a e l i P o w e r H o u s e

ספקי כח וממירים מכל הסוגים ולכל מטרה, סטנדרטים ולפי מפרט הלקוח מעבדת שירות לספקי כוח

פקס 04-8404177 : טל 26104 קרית מוצקין 497 . , ת.ד בע"מ 2006 אנרטק איטרנשיונל ייעוץ מקצועי, מחלקת שירות, מחלקת פיתוח, צב"ד לספקי כוח, מלאי גדול לאספקה מיידית

enertec@netvision.net.il 04-8403471 :

57 l New-Tech Magazine