Theo ước tính của IDC, đến năm 2020, số lượng các thiết bị IoT trên toàn thế giới sẽ chạm mốc 200 tỷ thiết bị. Quy mô rộng lớn và tốc độ phát triển của các thiết bị IoT đòi hỏi một lớp bảo mật an toàn, đáng tin cậy và được tự động hóa mới có thể đáp ứng được nhu cầu. Hiện nay, việc sử dụng mật mã vẫn là một giải pháp phổ biến và toàn diện nhất. Do đó, các nhóm nghiên cứu về an toàn thông tin (ATTT) cần phát triển mạnh mẽ PKI để có thể đáp ứng được những thách thức trong vấn đề ATTT cho IoT.
PKI - một lớp bảo vệ đáng tin cậy
Việc sử dụng PKI giúp người dùng có thể nhận được nhiều tính năng an toàn, an ninh thông tin cần thiết trong IoT như:
- Xác thực thiết bị: PKI có thể giúp thiết lập xác thực lẫn nhau đối với tất cả các kết nối và cung cấp quyền kiểm soát truy cập. Điều này đảm bảo chỉ có những bên có thẩm quyền mới có thể sử dụng thiết bị và giám sát quá trình vận hành của nó;
- Mã hóa dữ liệu: PKI đảm bảo dữ liệu được mã hóa trong quá trình trao đổi;
- Cung cấp tính toàn vẹn của dữ liệu và hệ thống: PKI giúp xác thực tính toàn vẹn của dữ liệu nhận được và có thể trợ giúp khởi động các thiết bị an toàn, cài đặt cấu hình và bảo vệ IP. Các chứng chỉ số có thể hỗ trợ quản lý, bảo vệ và khắc phục lỗi thiết bị bằng cách xác minh mã bảo vệ và xác thực trên thiết bị thích hợp. Tuy nhiên, để đạt được điều này cần có quy trình tự động hóa phù hợp.
Vấn đề quy mô phát triển PKI cho IoT
Thông thường, các chuyên gia ATTT sẽ liên kết PKI với các quy trình thủ công phức tạp khi cài đặt chứng chỉ số theo chuẩn X.509 lên máy chủ vật lý một cách lần lượt. Do đó, quy trình này thường mất nhiều thời gian.
Quy trình này đang được cải tiến để xác thực và mã hóa máy chủ vật lý, nhưng khi cài đặt một chứng chỉ số tại một thời điểm cần thiết vào các thiết bị IoT sẽ rất khó khăn. Do đó, phương pháp quản lý PKI thông thường trong trường hợp này sẽ không phù hợp. Vì vậy, các quản trị viên ATTT sẽ không cần phải quan tâm đến việc triển khai bảo mật các thiết bị IoT bằng cách này.
Hiện tại, phương pháp tự động hóa PKI đang được phát triển và sẽ trở thành công nghệ hàng đầu cung cấp yêu cầu nhận dạng và mã hóa thông tin cần thiết cho các thiết bị IoT. Tuy nhiên, vẫn còn một số vấn đề cần được giải quyết như: Việc cân bằng các chuẩn về thời gian có hiệu lực của chứng chỉ số với vòng đời của thiết bị; việc cung cấp các chứng chỉ cần thực hiện với quy mô như thế nào; việc quản lý các sự kiện trong vòng đời của chứng chỉ; việc chạy trên các CA chuyên dụng và an toàn; vấn đề an toàn đối với các thiết bị có thể tính toán dữ liệu ở mức thấp. Tất cả những điều này cần thực hiện trong mức chi phí cho phép để đảm bảo không làm tăng quá cao giá thành thiết bị.
Sự tin tưởng của khách hàng
Mỗi thiết bị IoT có một mục đích sử dụng khác nhau, nhưng các tổ chức khi cung cấp các thiết bị có các ứng dụng công khai cần phải có được sự tin tưởng của người dùng. Do vậy, các tổ chức phải cân nhắc về thời gian tồn tại của chứng chỉ số được sử dụng và các yêu cầu khác do các nhà cung cấp chứng chỉ số thiết lập, từ đó đảm bảo rằng, các chứng chỉ số sẽ được cập nhật khi các yêu cầu này thay đổi. Ví dụ, CA /Browser Forum gần đây đã rút ngắn thời hạn hiệu lực tối đa của chứng chỉ số xuống còn 27 tháng. Các nhà sản xuất thiết bị nếu không có khả năng gia hạn chứng chỉ số này trong thời gian đó, cần xem xét thận trọng để đảm bảo vẫn nhận được sự tin tưởng của khách hàng.
Trong nhiều trường hợp, các thiết bị IoT giao tiếp trong các hệ thống khép kín, nghĩa là tính tin cậy trong hệ thống PKI là không bắt buộc. Để đạt được sự tín nhiệm của khách hàng, nhà sản xuất thiết bị cần phải linh hoạt hơn trong cách sử dụng PKI cho các thiết bị, bao gồm cả việc quản lý thời gian sử dụng thiết bị. Việc vận hành một PKI riêng không phải là vấn đề nhỏ, do đó các tổ chức có nhu cầu cần xem xét đến sự phức tạp và chi phí của việc vận hành các hệ thống riêng của họ so với việc thuê một bên thứ ba giàu kinh nghiệm để có nhiều sự lựa chọn đem lại lợi ích tốt nhất.
PKI truyền thống không còn phù hợp với quy mô phát triển của IoT
Việc cung cấp, nhận dạng chứng chỉ
Thông thường, khi các thiết bị được thiết kế tuân theo một trong các tiêu chuẩn đăng ký chứng chỉ số mở phổ biến như SCEP (Simple Certificate Enrollment Protocol) hoặc EST (Enrollment over Secure Transport), thì việc cấp phép chứng chỉ số có thể được đơn giản hóa. Khi đó, chỉ cần sử dụng các giao diện lập trình ứng dụng (Application Programming Interface - API) gắn vào hệ thống của tổ chức và ban hành xử lý theo quy mô lớn, với hàng triệu chứng chỉ số tại một thời điểm. Gần đây, hãng Cisco và DigiCert đã tiến hành thử nghiệm thành công việc sử dụng EST để đăng ký chứng chỉ số trên các thiết bị IoT.
Một yếu tố nữa là khả năng xử lý và năng lực tính toán của thiết bị. Một số thiết bị có thể không có khả năng xử lý để chạy các dịch vụ chứng chỉ số footprint mức cao. Hiện nay, các thiết bị IoT đã được bổ sung các giải pháp điện toán tiêu hao nguồn năng lượng thấp. Tuy nhiên, thách thức lớn nhất nằm ở việc các nhà sản xuất phải hiểu được những tiến bộ công nghệ và cung cấp một cơ chế hợp lý để cập nhật chúng vào trong vòng đời thiết bị.
Ví dụ, các thiết bị sử dụng kết nối tầm ngắn (NFC - Near Field Communications), để làm rõ mức độ giới hạn về nguồn năng lượng mà tính toán mức thấp có thể vượt qua được. Với nguồn năng lượng ít hoặc không có nguồn điện, các thiết bị NFC thực sự có thể sử dụng PKI để bảo vệ nội dung thông tin khỏi việc sửa đổi hoặc xóa. Mặc dù, một số thiết bị này có thể kèm theo yêu cầu chỉ sử dụng trong một số tình huống cố định, nhưng chúng vẫn có thể được trang bị để sử dụng PKI trong suốt vòng đời của thiết bị. Ngoài những tiến bộ trong các thư viện TLS (Transport Layer Security), bản thân các chứng chỉ đã được phát triển để trở thành những công cụ nhẹ có thể cung cấp danh tính và mã hóa.
Hồ sơ chứng chỉ số đã được thu gọn hơn với các phương pháp tạo khóa mới và các định dạng không dựa theo X.509.
Quản lý vòng đời chứng chỉ số
Đây vẫn đang là một thách thức đối với các doanh nghiệp và vấn đề này càng trở nên lớn hơn với các thiết bị IoT. Các tổ chức cần phải tìm cách quản lý các chứng chỉ số của họ theo cách riêng (để xác định các vấn đề và giải quyết các vấn đề đó) và tìm cách sử dụng các công cụ quản lý dựa trên chính sách. Việc thiết lập các hệ thống phát hiện, thu hồi và đổi mới chứng chỉ số phù hợp, đòi hỏi phải có kế hoạch cụ thể.
Việc quản lý một hệ thống PKI không đơn giản. Do đó, nhiều công ty đã tìm đến một bên thứ ba chuyên nghiệp, chẳng hạn như các CA tin cậy, có nhiều năm kinh nghiệm, tuân thủ các tiêu chuẩn ngành, duy trì các cơ sở hạ tầng lớn, đáp ứng được các yêu cầu về an toàn cần thiết cho CA tin cậy, có thiết lập các chính sách và thông lệ. Nếu các tổ chức lựa chọn một hệ thống PKI riêng, họ cũng có thể tham khảo từ một CA tin cậy để giúp thiết lập cơ sở hạ tầng của mình.
Chi phí cho PKI lớn nhất là thiết bị và chuyên gia điều hành CA nội bộ
Chi phí sử dụng PKI cho thiết bị IoT không giống như cho máy chủ web (sử dụng một chứng chỉ số tại một thời điểm). Sự tiết kiệm về quy mô của hệ thống thiết bị IoT giúp giảm đáng kể chi phí khi sử dụng PKI.
Những chi phí lớn nhất cho việc này là chi phí cho nhân viên kỹ thuật bậc cao và thiết bị hỗ trợ để có thể điều hành một CA nội bộ. Tùy thuộc vào quy mô triển khai của tổ chức, họ có thể phải được trang bị môđun phần cứng mật mã (Hardware Security Module - HSM), các hệ thống thu hồi đáng tin cậy và các máy chủ ký cho PKI. Tuy nhiên, trong nhiều trường hợp, chi phí liên quan đến việc quản lý thiết bị, xây dựng chính sách và cơ sở hạ tầng cho CA tại chỗ cao hơn nhiều so với việc thuê bên thứ ba đáng tin cậy. Do đó, các tổ chức cần xem xét kỹ vấn đề này để tối ưu hóa lợi nhuận.
Việc triển khai bảo mật cho các thiết bị IoT là không dễ dàng, nhưng trước yêu cầu của thực tế, nhiều tổ chức đã và đang tiến tới triển khai các giải pháp dựa trên PKI. Tuy nhiên, trước khi triển khai, tổ chức cần tìm kiếm một đối tác có kinh nghiệm trong lĩnh vực này để được hỗ trợ đánh giá nhu cầu và xác định việc triển khai PKI cho IoT hay không.
Jeremy Rowley; Nhật Minh
(biên dịch theo “Evolving PKI for the Internet of Things” trong [IN]SECURE, số 53)
02:00 | 19/12/2017
10:00 | 10/04/2024
Xác thực không mật khẩu là một phương thức xác thực cho phép người dùng truy cập vào một dịch vụ, ứng dụng, hệ thống công nghệ thông tin mà không cần nhập mật khẩu truyền thống hoặc trả lời các câu hỏi bảo mật. Xác thực không mật khẩu đang được xem là giải pháp xác thực an toàn hiện nay và được dự đoán sẽ trở thành xu hướng trong tương lai. Bài viết này sẽ hướng dẫn độc giả cách thiết lập Passkey cho tài khoản Google để giúp quá trình đăng nhập trở nên thuận lợi, đơn giản và tăng cường khả năng bảo mật tài khoản của người dùng.
14:00 | 01/03/2024
Ngày 06/01/2022, Thủ tướng Chính phủ đã phê duyệt Đề án phát triển ứng dụng dữ liệu về dân cư, định danh và xác thực điện tử phục vụ việc chuyển đổi số (CĐS) quốc gia giai đoạn 2022 - 2025, tầm nhìn đến năm 2030 (gọi tắt là Đề án 06). Mục tiêu tổng quát của Đề án là ứng dụng Cơ sở dữ liệu (CSDL) quốc gia về dân cư, hệ thống định danh và xác thực điện tử, thẻ căn cước công dân (CCCD) gắn chip điện tử trong công cuộc CĐS quốc gia một cách linh hoạt, sáng tạo, phù hợp Chương trình CĐS quốc gia đến năm 2025, định hướng đến năm 2030. Đối với Ban Cơ yếu Chính phủ (CYCP), để thực hiện cải cách hành chính, chuyển đổi số mạnh mẽ, toàn diện, Ban đã thực hiện triển khai hệ thống định danh tập trung căn cứ theo Nghị định số 59/2022/NĐ-CP nhằm đảm bảo quá trình CĐS của Ban CYCP được thống nhất, đồng bộ, qua đó góp phần vào sự phát triển của các dịch vụ công toàn trình phục vụ các cơ quan Đảng, Nhà nước thực hiện CĐS thành công.
07:00 | 26/06/2023
Sở TT&TT Thành phố Hà Nội vừa đề nghị các Sở, ngành trên địa bàn chỉ đạo bộ phận một cửa phối hợp với các doanh nghiệp để triển khai cấp chữ ký số miễn phí cho người dân Thủ đô.
14:00 | 03/06/2022
Đề án "Phát triển ứng dụng dữ liệu về dân cư, định danh và xác thực điện tử phục vụ chuyển đổi số quốc gia giai đoạn 2022 - 2025, tầm nhìn đến 2030" với mục tiêu cụ thể với ngành thuế là hoàn thành việc kết nối, chia sẻ dữ liệu giữa Cơ sở dữ liệu quốc gia về dân cư và Cơ sở dữ liệu thuế trong quý I/2022; Phục vụ xác thực thông tin về người nộp thuế trong giải quyết thủ tục hành chính lĩnh vực thuế, giúp 100% người nộp thuế không phải khai báo lại các thông tin thay đổi đã có trong cơ sở dữ liệu quốc gia về dân cư.
Ngày 21/3, Bộ Quốc phòng đã có văn bản trả lời kiến nghị của cử tri tỉnh Quảng Nam với nội dung: "Đề nghị chỉ đạo thống nhất về giá trị pháp lý của chữ ký số, hồ sơ điện tử (hiện nay, nhiều cơ quan quản lý nhà nước, tổ chức tín dụng chưa áp dụng thống nhất nội dung này và bắt buộc phải sử dụng chữ ký thông thường, hồ sơ giấy song song với chữ ký số, hồ sơ điện tử)".
15:00 | 25/03/2024
Thời gian gần đây, nhiều đối tượng xấu đã giả danh cơ quan công an gọi điện cho người dân yêu cầu ra công an phường để khắc phục sự cố đồng bộ VNeID mức 2. Đây là một hình thức lửa đảo mới nhằm chiếm đoạt toàn bộ tiền trong tài khoản ngân hàng của nạn nhân.
09:00 | 19/04/2024