Det har varit svårt att ge resursbegränsade saker pålitliga identiteter, och det har blivit ett av de största säkerhetsproblemen eftersom sakernas internet (internet of things, IoT) växer kraftigt. ”Vi har nu löst den här utgivningsutmaningen genom att skapa ett nytt superlättviktigt och helautomatiskt protokoll”, säger Shahid Raza, senior forskare och projektledare för CEBOT.
Grunden för alla säkerhetslösningar är att människor, mjukvara och saker har pålitliga identiteter –om du inte vet vem eller vad du kommunicerar med så spelar det ingen roll hur välkrypterad din digitala anslutning är eller hur välbevakade dina anläggningar är.
”När det gäller internet är den bästa metoden för att möjliggöra pålitliga identiteter public key infrastructure, PKI. Men en verklig utmaning med PKI är utgivningsprocessen”, säger Shahid Raza, senior forskare vid svenska icke-vinstdrivande forskningsorganisationer SICS Swedish ICT och projektledare för CEBOT.
I PKI används digitala certifikat för att säkerställa digitala identiteter och deras krypteringsnycklar.
“Det här innebär att saker och människor kan prata med andra saker och människor utan någon tidigare kännedom om varandra, om båda parter har certifikat signerade av en betrodd tredje part, en så kallad certifikatutfärdare (certificate authority, CA)“, säger Shahid Raza.
En person kan gå till banken för att få sitt certifikat signerat, och ägaren av en IoT-enhet med ett användargränssnitt kan logga in med ett användarnamn och lösenord för att be certifikatutfärdaren signera certifikatet.
”Men många av de saker som nu blir anslutna har inga användargränssnitt, och när miljarder anslutna saker ska få identiteter måste det ske via en automatiserad process. Det finns redan protokoll för utfärdande av identiteter, men de är för tunga för riktigt resursbegränsade saker. Och de nuvarande utgivningsprotokollen är inte heller helt automatiserade”, säger Shahid Raza.
Projektet CEBOT (Certificate Enrollment for Billions of Things) inleddes i september 2015 för att lösa det här utgivningsproblemet, och nu, med ett halvt år kvar av projektet har en nytt superlättviktigt och helautomatiskt protokoll utformats och implementerats.
”Om du till exempel köper en lampa så har tillverkaren redan placerat ett certifikat i lampan. Och när du ansluter lampan för första gången så pratar den automatiskt med certifikatutfärdaren via det nya protokollet och ber att få certifikatet signerat”, säger Shahid Raza.
När certifikatet är signerat har lampan en betrodd digital identitet och kan kommunicera säkert med andra betrodda identiteter.
”Vi på SICS har varit med och tagit fram de lätta protokoll som redan finns tillgängliga för sakernas internet, så vi tog vår kunskap från de projekten för att skapa det här nya, ännu lättare, protokollet.”
Det nya protokollet har samma namn som projektet: CEBOT. Det har varit en utmaning att skapa ett protokoll som fungerar för enheter med riktigt små mängder minne och energi, enligt Shahid Raza.
”Jag har presenterat protokollet på mängder av ställen nu och massor av människor och organisationer har visat stort intresse. Det har varit svårt att ge resursbegränsade saker pålitliga identiteter, och eftersom sakernas internet växer kraftigt har det blivit ett av de största säkerhetsproblemen.”
Den nya superlättviktiga utgivningsprotokollet utvärderas för närvarande och nästa steg blir att försöka få CEBOT standardiserat av Internet Engineering Task Force (IETF), den organisation som har standardiserat de flesta internetprotokollen.
”Eftersom intresset för CEBOT är så stort tror vi att det kommer att bli en standard. Och eftersom det inte finns några andra tillgängliga lösningar för automatisk utgivning av digitala certifikat i resursbegränsade saker kan det även bli så att standardorganisationen snabbehandlar det här.”
Om CEBOT inte blir en standard kan det fortfarande användas – många flitigt använda protokoll är inte standardiserade.
”Men om det inte blir en standard kan de saker som använder protokollet naturligtvis bara prata med organisationer och saker som också använder protokollet. Om du ska vara säker på att till exempel en lampa från Philips kan prata med Amazons molntjänster måste du använda ett standardprotokoll.”
Och om CEBOT blir en standard tror Shahid Raza att protokollet kommer att användas i mycket stor utsträckning. Några av de företag som stödjer CEBOT-projektet är Husqvarna, Ericsson, Saab, Sust, Yanzi Networks, Intel och Scypho.
”Jag tror att många andra organisationer också kommer att vilja använda det här protokoll för att lösa utgivningsproblemet. CEBOT är den saknade pusselbiten i IoT-säkerhet. Men andra protokoll som löser samma problem kan utvecklas och standardiseras, och då är det naturligtvis upp till varje organisation vilka protokoll de vill använda”, säger Shahid Raza.
CEBOT-projektet är ett samarbete mellan SICS och identitets- och säkerhetsföretaget Nexus Group.
”Vi på SICS är ansvariga för klientsidan och har gjort implementationen för resursbegränsade IoT-enheter som kör operativsystemet Contiki. Och Nexus tar hand om serversidan, det vill säga den certifikatutfärdande delen. De har gjort implementationen av CEBOT på sin mjukvaruplattform Nexus Certificate Manager, som används för att utfärda och hantera alla typer av elektroniska identiteter”, säger Shahid Raza.
Under första halvan av 2017 kommer det nya protokollet börja användas i riktiga produkter och testas ytterligare.
”Och när CEBOT-projektet avslutas den 30 juni 2017 kommer vi att använda resultaten från CEBOT i ett nytt, tre år långt Eurostars-finansierat projekt som heter SecureIoT. Tillsammans med partner från Sverige och Sydkorea kommer vi att fortsätta det testa protokollet i riktiga produkter och miljöer, samtidigt som vi fortsätter att arbeta på att lösa andra IoT-problem.”
SICS ansöker även om medel till ett annat projekt, med målet att skapa en helt ny struktur för PKI för sakernas Internet.
”Vi kommer att använda resultaten från CEBOT i det här projektet också. Vi kan inte säga i dag hur den föreslagna nya PKI-lösning kommer att se ut, men vi måste alla tala samma språk, och det språket är protokollet CEBOT”, säger Shahid Raza.