Eine der größten Herausforderungen im Bereich des Internet of Things (IoT) ist die Bereitstellung vertrauenswürdiger Identitäten für Geräte mit begrenzten Ressourcen, wie beispielsweise smarte Glühbirnen. Da solche Geräte sich in immer größerer Zahl dort tummeln, wächst auch das Sicherheitsproblem. „Wir haben für die Zertifikatsverteilung ein neues, sehr einfaches Protokoll entwickelt und so dieses Problem gelöst“, erklärt Shahid Raza, der für das CEBOT-Projekt des schwedischen Forschungsinstituts SICS verantwortlich ist.
Sicherheit basiert auf vertrauenswürdigen Identitäten – egal ob für Menschen, Software oder Geräte. Denn wenn nicht bekannt ist, mit wem oder was kommuniziert wird, spielt es keine Rolle, wie stark die Verbindung verschlüsselt oder sicher ein Gebäude ist.
„Im Bereich Netzwerkkommunikation ist eine Public Key Infrastructure der De-facto-Standard, um vertrauenswürdige Identitäten bereitzustellen. Allerdings ist die Zertifikatsverteilung innerhalb der PKI eine echte Herausforderung“, erklärt Raza.
Digitale Zertifikate stellen sicher, dass die digitalen Identitäten und die Verschlüsselungsschlüssel auch wirklich vertrauenswürdig sind.
Vertrauenswürdige Identitäten für smarte Geräte ohne Benutzeroberfläche
„Digitale Zertifikate sorgen dafür, dass Geräte, aber auch Menschen, die bislang nichts voneinander ‚wussten‘, sicher miteinander kommunizieren können. Beide Parteien benötigen dafür einfach ein Zertifikat, das von einem vertrauenswürdigen Dritten (in der Regel eine sogenannten Certificate Authority) ausgestellt wird“, erklärt Raza.
Genauso wie Menschen auf eine Behörde gehen können, um sich einen Ausweis ausstellen zu lassen, können Besitzer sich auf ihrem smarten Gerät anmelden, um das Zertifikat des Geräts zu bestätigen. Dafür muss das Gerät allerdings über eine grafische Benutzeroberfläche verfügen.
„Viele der smarten Geräte, die heute Teil des IoT sind, verfügen über keine Benutzeroberfläche. Daher muss die Zertifikatsverteilung für die erwartete Flut an Geräten automatisiert werden. Zwar existieren bereits Protokolle, die hierfür genutzt werden können. Allerdings sind sie zu komplex, um sie auch für Geräte mit begrenzten Ressourcen einsetzen zu können. Ein weiteres Manko ist, dass sich die aktuell verfügbaren Protokolle nicht vollständig automatisieren lassen.“
Um genau für dieses Problem eine Lösung zu finden, wurde im September 2015 das Projekt CEBOT (Certificate Enrollment for Billions of Things) ins Leben gerufen. Das Ergebnis der Forschungsarbeit ist ein sehr einfaches Protokoll, das genau diese Herausforderungen meistert: nämlich Zertifikate auch für Geräte mit begrenzten Ressourcen vollautomatisch bereitstellen.
„Das Protokoll funktioniert ganz einfach. Stellen Sie sich vor, Sie kaufen eine smarte Glühbirne. Der Hersteller hat auf der Glühbirne bereits ein Zertifikat installiert. Sobald Sie die Glühbirne anschließen, verbindet sie sich automatisch mit der Certificate Authority, um ihr Zertifikat bestätigen zu lassen. Und diese Kommunikation findet mittels unseres neuen Protokolls statt.“
Wird das digitale Zertifikat bestätigt, verfügt die Glühbirne über eine vertrauenswürdige Identität und kann ab sofort sicher mit anderen vertrauenswürdigen Identitäten kommunizieren.
CEBOT verspricht die Lösung des IoT-Sicherheitproblems
„Das Forschungsinstitut SICS hat bereits beim Entwerfen der aktuell verfügbaren Protokolle für das IoT mitgearbeitet. Unser Know-how haben wir in die Entwicklung eines noch einfacheren, leichtgewichtigeren Protokolls einfließen lassen“, erklärt Raza.
Das neue Protokoll trägt den gleichen Namen wie das Forschungsprojekt: CEBOT. Die größte Herausforderung war, so Raza, ein Protokoll zu entwerfen, das auf Geräten mit sehr begrenzten Ressourcen (Speicher, Energie) eingesetzt werden kann.
„Ich habe CEBOT bereits häufig vorgestellt und das Interesse daran war überall sehr groß. Denn CEBOT kann ein großes, wenn nicht das größte, Sicherheitsproblem des IoT lösen“, ist Raza vom Erfolg des Projekts überzeugt.
Aktuell wird das neue Protokoll evaluiert. Der nächste Schritt wird sein, den Entwurf der Internet Engineering Task Force (IETF) vorzulegen, um es als Standardprotokoll anerkennen zu lassen.
„Das große Interesse für CEBOT stimmt mich zuversichtlich, dass es zu einem Standardprotokoll wird. Und da es zurzeit keine anderen Lösungen für das Problem der Zertifikatsverteilung für Geräte mit begrenzten Ressourcen gibt, kann die Anerkennung ganz schnell gehen.“
Selbst wenn CEBOT kein IETF-Standard werden sollte: eingesetzt werden kann es trotzdem. Das ist nicht ungewöhnlich, wie der verbreitete Einsatz anderer Protokolle, die sich noch im ‚Entwurfsstadium‘ befinden, beweist.
„Solange CEBOT kein Standard ist, kann das Protokoll natürlich nur innerhalb von Organisationen oder nur für Geräte eingesetzt werden, die CEBOT einsetzen. Wenn sichergestellt werden soll, dass die smarte Glühbirne von Hersteller A mit dem Cloud-Service von Anbieter B kommunizieren kann, muss allerdings auf ein Standardprotokoll zurückgegriffen werden“, erklärt Raza.
Wenn CEBOT zu einem Standardprotokoll wird, dann wird es nach Einschätzung von Shahid Raza auch in großem Umfang eingesetzt. Schließlich befinden sich unter den Unternehmen, die das Projekt befürworten, Namen wie Husqvarna, Ericsson, Saab, SUST, Yanzi Networks, Intel und Scypho.
„CEBOT ist für viele Unternehmen interessant, weil CEBOT das fehlende Puzzlestück in Sachen IoT-Sicherheit ist.“
Gemeinschaftsprojekt von SICS und Nexus
Das Projekt CEBOT ist eine gemeinsame Initiative zwischen dem schwedischen Forschungsinstitut SICS und Nexus, Anbieter von Lösungen für das Identity und Access Management.
„SICS kümmert sich um die Client-Seite und die Implementierung des Protokolls auf IoT-Geräte. Nexus kümmert sich um die Server-Seite, also um den Part der Certificate Authority. Nexus hat CEBOT in ihre Lösung Nexus Certificate Manager implementiert, mit der digitale Identitäten bereitgestellt und verwaltet werden“, erläutert Raza die Rollenverteilung bei der Zusammenarbeit.
Im ersten Halbjahr 2017 wird das neue Protokoll dem Praxistest unterzogen und weiterentwickelt. „Wenn das CEBOT-Projekt am 30. Juni 2017 endet, werden wir CEBOT in einem neuen, auf drei Jahre angelegten Projekt namens SecureIoT einsetzen. Dieses Projekt wird von Eurostars gefördert, ein gemeinsames Programm der europäischen Forschungsinitiative EUREKA und der Europäischen Kommission.
Außerdem bemüht sich SICS um weitere Forschungsgelder für weitere Projekte mit dem Ziel, Public Key Infrastructures zu verbessern.
„Auch hier werden wir CEBOT einsetzen. Wir wissen zwar noch nicht, wie eine neue PKI aussehen wird, aber eines steht schon jetzt fest: In der PKI muss die gleiche Sprache gesprochen werden und diese Sprache heißt CEBOT“, erklärt Raza.