Что такое аттестация устройства?

Джереми О’Донохью из GlobalPlatform

Как организация, основанная на опыте и знаниях наших членов, мы воспользовались возможностью, чтобы обсудить некоторые из новых и появляющихся технологий, формирующих наши отрасли, и то, как GlobalPlatform работает над определением стандартов, позволяющих обеспечивать безопасность цифровых устройств и сервисов. выведен на рынок.

В этом интервью Джереми О’Донохью, председатель Trusted Platform Services GlobalPlatform (TPS) Комитет и технический директор Qualcomm , объясняет, что такое аттестация и почему она так важна для успешного развертывания безопасного Интернета вещей. Джереми также поделился своим мнением о спецификации API аттестации сущностей GlobalPlatform и о том, как она повысит доверие к экосистеме подключенных устройств.

GlobalPlatform:во-первых, что такое аттестация устройства?

Джереми О’Донохью: Основная идея аттестации заключается в том, что это заслуживающее доверия свидетельство или доказательство чего-либо. В случае системы кибербезопасности, например, это означает, что полагающаяся сторона, такая как банк или поставщик облачных услуг Интернета вещей, может быть уверена в том, что они получают от устройства.

Если углубиться в это, то на самом деле под аттестацией мы подразумеваем то, что у нас есть безопасная среда - Root of Trust (RoT), которая предоставляет криптографически подписанное свидетельство о состоянии устройства. Например, загружается ли он безопасно, включена ли отладка, есть ли какие-либо доказательства взлома? Это позволяет проверяющей стороне, поскольку она является криптографически подписанный, чтобы убедиться, что это конкретное устройство от определенного производителя, и что оно не было взломано до того, как оно будет подключено к сети

GlobalPlatform:почему аттестация важна для успеха развертывания Интернета вещей (IoT)?

Джереми О’Донохью: Одной из больших проблем Интернета вещей является достижение уверенности в растущем количестве «вещей», которые теперь подключаются к нашим сетям. Неужели они действительно такие, о которых говорят? Будут ли они вести себя должным образом и не создавать рисков для сети? И мы увидели, что безопасность представляет собой настоящую проблему. Аттестация помогает нам найти те устройства, которые были взломаны, или могут иметь плохую или устаревшую версию программного обеспечения, работающую на них, или даже быть откровенно подделками, чтобы быть идентифицированными. Это то, что вы можете определить.

Имея уверенность в вещах в своей сети, подкрепленную RoT и, в идеале, сертифицированную по безопасности, вы начинаете делать реальные и точные оценки того, что у вас есть и насколько вы можете этому доверять.

GlobalPlatform:есть ли проблемы с совместимостью и ограничивают ли они принятие?

Джереми О’Донохью: Сегодня очень сложно проводить достоверные аттестации, и на практике доверяющие стороны должны использовать какой-то проприетарный набор показателей для идентификации информации об устройстве, с которым они разговаривают. Органы по стандартизации постоянно работают над обеспечением единого и совместимого базового стандарта, чтобы доверяющие стороны и производители устройств могли быть уверены в том, что то, что они разрабатывают, вероятно, будет широко использоваться и взаимодействовать.

GlobalPlatform особенно хорошо позиционируется, чтобы помочь, потому что с помощью наших программ соответствия и всех наших схем тестирования совместимости мы можем создавать устройства, которые, как вы можете быть уверены, будут иметь высокую степень совместимости. Кроме того, что очень важно, вся структура аттестации, которую мы используем, уже широко стандартизирована в IETF, и интерес других групп растет. Мы уверены, что со временем проблемы совместимости исчезнут, и появится единый и надежный способ определения достоверных свидетельств об устройстве, которое, поскольку оно поддерживается RoT, имеет подлинное доверие.

GlobalPlatform:в чем ценность API аттестации объектов GlobalPlatform?

Джереми О’Донохью: Стоимость действительно в несколько раз. Мы берем открыто разработанный стандарт - это работа Entity Attestation Token (EAT) от IETF - и расширяем его, чтобы определить EAT, созданный в RoT GlobalPlatform. Идя еще дальше, мы определяем, как ведет себя этот RoT, и покрываем его сертификацию безопасности. Это обеспечит надежную аттестацию, причем не только из Secure Element (SE) или Trusted Execution Environment (TEE), но и из RoT, который был независимо сертифицирован, например, в соответствии с сертификатом безопасности GlobalPlatform TEE или Common Criteria. Это огромная ценность, потому что дает возможность достоверно узнать, что кто-то еще проводил аудит этого RoT.

GlobalPlatform:каковы следующие шаги экосистемы?

Джереми О’Донохью: Прежде всего, необходимо завершить разработку спецификаций, а затем начать тестирование на совместимость, которое мы планируем на 2020 год. Затем, что является критическим фактором, мы рассмотрим сертификацию безопасности. Как я уже говорил ранее, RoT по своей природе - это то, чему вы должны доверять. Лучший способ обеспечить такое доверие - привлечь для его аудита стороннюю организацию, например, независимую лабораторию безопасности, которая знает, как что-то взломать и может сказать вам реальный уровень безопасности, который вам необходим.

Присоединяйтесь к GlobalPlatform, чтобы участвовать в работе комитета по обслуживанию доверенных платформ GlobalPlatform.

Автор - Джереми О’Донохью, председатель комитета Trusted Platform Services (TPS) GlobalPlatform и технический директор Qualcomm.