נמצאת ארכיטקטורת תשתית המפתח

). זוהי ארכיטקטורה

PKI

הציבורי (

המספקת מספר אמצעים לתמיכה בצרכי

שהחלה

IoT

האבטחה השונים של התקני

להופיע לא רק בהתקנים שפותחו עבור

טלפונים ומחשבים אישיים, אלא במערכות

משובצות דקות יותר.

בנויה סביב הרעיון

PKI

ארכיטקטורת

של הצפנה אסימטרית, שבה נחתמים

ונבדקים מסמכים ואובייקטים תוכנתיים

אחרים באמצעות שילוב של מפתחות

פרטיים וציבוריים. המתמטיקה של

מסתמכת על חוסר היכולת להפיק

PKI

ה-

בקלות מפתח פרטי ממפתח ציבורי קשור.

את המפתח הציבורי ניתן להפיץ באופן

חופשי. על המפתח הפרטי יש להגן. בתוך

התקן משובץ, מעבד הצפנה הבנוי באופן

מאובטח עם זיכרון מוגן מספק את

המצע האידיאלי. דוגמה לכך היא המעבד

על

RAM

עם זיכרון

PIC

24

FJ

128

GB

204

ותמיכה בחומרת הצפנה.

128

KB

השבב של

המעבד הוא חלק ממשפחת המיקרו-

Microchip

מתוצרת

PIC

24

F

GB

2

בקרים

.

Technology

אמצעי מפתח של מעבד מודול אמון

בחומרה הוא להבטיח כי כאשר ההתקן

מאתחל, הוא מריץ קוד מורשה בלבד וכי

גורם חיצוני בלתי ידוע לא פגע בו. הדבר

ידוע בשם אתחול מאובטח. כאשר ההתקן

מאתחל וקורא את הקוד מתוך זיכרון

) הנמצא בתוכו, הוא

ROM

לקריאה בלבד (

בודק כי כל מקטע גדול נחתם על ידי ספק

מורשה. הספק משתמש במפתח פרטי כדי

לחתום על בלוק הקוד. תהליך חתימה

זה יוצר גיבוב חד-כיווני של הקוד עצמו

בשילוב עם המפתח הפרטי. רכיב האמון

בחומרה בודק את הגיבוב כדי לבדוק את

אמינותו. כל שינוי בבסיס הקוד צריך

להיות חתום באמצעות מפתח מתאים

שמודול האמון בודק לפני שההתקנה או

העדכון ממשיכים.

אם ההתקן נתקל בבלוק קוד שנחתם באופן

שגוי, הוא יחסום בדרך כלל את טעינת

התוכנה שהושפעה מכך, וייתכן שיעבור

למצב שחזור המנסה להשיג קוד מורשה

מהספק המקורי - אולי תוך חזרה לקוד

- וישלח התרעה

ROM

המפעל המאוחסן ב-

לשרת, אם הוא מסוגל לכך.

אף שניתן ליישם כמה צורות של אתחול

מאובטח ללא מודול אמון בחומרה, קשה

לוודא כי תהליך האתחול ייעצר כראוי אם

הפורץ חדר מספיק עמוק לתוך הקושחה.

המעבד של מודול האמון בחומרה יכול

לאכוף את האבטחה על ידי ביצוע פענוח

של חלקים מרכזיים בקושחה בשם המעבד

המארח רק בתנאי שהגיבוב נכון ולסרב

לשירות הפענוח לכל רכיב תוכנה שאין

לו גיבוב או מפתח. עם היכולת להגן על

מפתחות על השבב ולמנוע מהם להשתנות

או להיקרא על ידי תוקף, מגוון רכיבי

,

Microsemi

מבוססי הפלאש של

FPGA

ה-

, יכולים לשמש כדי

SmartFusion

2

כגון

לתמוך באתחול מאובטח ובפונקציות

אבטחה אחרות.

לאחר שההתקן אותחל כראוי, הוא יכול

לאמת את עצמו לרשת באמצעות מנגנוני

. בדרך כלל, ההתקן יקים תקשורת

PKI

מאובטחת באמצעות פרוטוקול כמו

), המהווה

TLS

(

Transport

Layer Security

HyperText

(

HTTP

נספח לפרוטוקול ה-

) הנפוץ. הרשאות

Transfer

Protocol

חתומות דיגיטלית המאוחסנות בתוך

מודול האמון בחומרה מספקות לשרתים

מרוחקים את הביטחון שהם מתקשרים

עם משאב ידוע. ההרשאה בפועל מאוחסנת

בתוך מודול האמון כך שרק הנתונים

הנגישים לציבור מסופקים באמצעות

הרשת והאפיק הפנימי של ההתקן עצמו

כדי למנוע מפורצים לעשות שימוש

בטכניקות ציתות.

ללא מודול אמון בחומרה, ייתכן שהפורץ

יוכל להשתמש בניתוח לוגי או בהתקן אחר

כדי לחטט בזיכרון של ההתקן ולקבל את

המפתחות וההרשאות הסודיים שהוא

יוכל להשתמש בהם לאחר מכן כדי להתל

בשרתי הרשת.

צריך להיות

IoT

לעומת זאת, התקן ה-

בטוח כי הוא מקבל פקודות רק מהתקנים

או שרתים אחרים שהוא יכול לסמוך

עליהם. על ידי כך שמודול האמון בחומרה

בודק את ההרשאות של התקנים אחרים

אלה כנגד המפתחות המאוחסנים בזיכרון

מוגן, ההתקן יכול להבטיח שהוא מתקשר

רק עם מערכות מורשות.

בעוד שפרופילי השירות משתנים עם הזמן,

מאפשר להוסיף או

PKI

השימוש בחילופי

למחוק הרשאות. הדבר מבטיח לא רק

כי ניתן לשפר את השירותים עם הזמן,

אלא גם כי ניתן למחוק מרשימת האמון

מערכות אחרות שאינן עוד חלק מהרשת

או אשר ידועות כפגועות.

על ידי ניצול הניסיון והתשתית הטכנולוגית

שפותחה עבור טלפוניה ומחשוב ניידים,

יכולים להשיג יתרון במתן

IoT

יצרני ה-

בסיס מאובטח עבור מוצריהם. זמינותם

PIC

24

של התקנים, למשל אלה ממשפחת

FPGA

ורכיבי ה-

Microchip

של

GB

2

,

Microsemi

מבוססי הפלאש מבית

גישה קלה

IoT

מבטיחה ליצרני ה-

לטכנולוגיות אלה ומעניקה להם בסיס

מאובטח.

IoT

מוצק לצורכי

IoT

מוסף מיוחד

enertec@netvision.net.il

04-8403471 :

פקס

04-8404177 :

טל

26104

קרית מוצקין

497 .

, ת.ד

בע"מ

2006

אנרטק איטרנשיונל

ייעוץ מקצועי, מחלקת שירות, מחלקת פיתוח, צב"ד לספקי כוח, מלאי גדול לאספקה מיידית

ספקי כח וממירים מכל הסוגים ולכל

מטרה, סטנדרטים ולפי מפרט הלקוח

מעבדת שירות לספקי כוח

• Industrial/Commercial Power Supplies and Converters

• Standart or Custom made per customer’s specifications

• AC/DC Switching and Linear

• External, Wall-Mount & Desk-Top

• Compact PCI, Eurobox,VME

• Encapsulated DC/DC and AC/DC,

On-Board & Chassis Mount

• Din-Rail Industrial

International

Enertec

T

h

e

I

s

r

a

e

l

i

P

o

w

e

r

H

o

u

s

e

57 l New-Tech Magazine