Некоторые сайты, такие как эта статья о сквозном шифровании IoT , предлагают шифровать весь трафик, передаваемый по сети IoT, говоря:
Предприятия, правительственные учреждения и другие организации должны принять [sic] стратегию «шифрования всего» для защиты от нарушений, связанных с IoT.
Я понимаю необходимость шифрования любых данных, которые могут быть конфиденциальными, таких как команды для блокировки / разблокировки устройства «умная блокировка», но действительно ли необходимо шифровать все , например, датчик, который сообщает о текущем показании термостата?
Является ли это просто случаем, когда «шифрование всего» мешает людям забыть зашифровать данные, которые действительно должны быть зашифрованы, или есть реальная выгода от использования криптографии, несмотря на дополнительную мощность, время и стоимость?
источник
Ответы:
Абсолютно потому что:
Одно только шифрование не позволяет доверять данным: злоумышленник может изменить зашифрованные данные, даже если он не знает точно, что они изменяют. Даже аутентификация сама по себе не позволяет полностью доверять данным, поскольку аутентичные данные могут быть воспроизведены. Вам нужен протокол, который гарантирует целостность данных.
источник
Сенсорные отчеты для текущего показания термостата кажутся мне очень приватными. Взломщик может использовать данные, чтобы узнать, когда человек находится дома. После того, как дом был ограблен, владелец может решить, что было бы неплохо подать в суд на производителя термостата, нарушившего их конфиденциальность и тем самым позволившего взломать.
Это тот тип юридического риска, который производитель термостата хочет для своей продукции? Хотите ли вы спорить перед судом о том, что для вашей компании вполне нормально давать взломщикам информацию, необходимую им для того, чтобы проникнуть в дома ваших клиентов?
источник
Да, есть преимущество шифрования всех сообщений. Вы бы не стали спрашивать, есть ли какое-то преимущество в закрытии вашего дома, не так ли?
Возникает вопрос не о том, может ли быть какое-либо преимущество.
Один из величайших экспертов по безопасности Брюс Шнайер , у которого отличный блог , скажет вам, что вы не можете сделать вещи полностью безопасными. Что вы можете сделать, так это сделать их достаточно безопасными, чтобы стоимость взлома их была больше, чем выгода от этого.
В грубом финансовом плане, если взломать что-то и получить 5 долл. Стоит 100 долларов, потенциальный злоумышленник удерживается, даже если его можно взломать.
В грубом социальном плане, если у меня есть видимая сигнализация, камеры видеонаблюдения, прожекторы для активации движения и стая гончих, решительный грабитель все еще может проникнуть в мой дом. Но если ваш дом по соседству выглядит так же и не имеет таких детекторов ...
Вы можете прочитать много его размышлений о IoT, Goggling для
Bruce Schneier iot
, в том числеСлучайный факт Брюса Шнайера # 81
источник
Это всегда выбор дизайнера / разработчика. Но использование шифрования и других мер безопасности становится необходимостью в наши дни.
Например, датчик, который сообщает о текущем показании термостата , может быть взломан злоумышленником для отправки вам ложных сигналов. (У них может быть какая-то стратегия, чтобы грабить вас, кто знает?)
Возможно, вы слышали, что вы не можете создавать системы, которые недоступны . Вы делаете только те системы, которые сложнее нарушить!
Независимо от того, какие шаги вы предприняли, они все равно могут сломать их. Поэтому зачем предпринимать какие-то дополнительные шаги для обеспечения безопасности?
источник
В дополнение к другим ответам, если данные отправляются в виде открытого текста, они могут быть изменены.
Помимо упомянутых проблем, подделка данных может привести к (например, нагревание до максимума из-за лежащего термометра в середине жаркого лета может привести к пожару, например) манипулирование данными может привести к компрометации устройства IoT и всего, что к нему обращается (для Например, ваша записная книжка может проверять температуру, но HTML-страница, показывающая температуру, может быть заменена в процессе передачи компьютерным вирусом, предназначенным для заражения вашей внутренней сети, или данные JSON могут быть изменены для разбивки на приложения, считывающие искаженные данные и т. д.).
Не то, чтобы реализация безопасности не имела рисков, особенно в мире IoT. Безопасность сложна, и ее реализация обычно значительно увеличивает кодовую базу, а вместе с ней и количество ошибок (и, таким образом, возможных векторов атак / возможностей эксплойтов). IoT редко получают обновления прошивки, поэтому, когда у устройства IoT без автообновления возникает проблема, почти гарантированно предоставляется бот-сеть с дополнительными машинами-зомби.
И да, само обновление само по себе не без проблем - от проблем с конфиденциальностью до вероятности того, что злоумышленники возьмут его под контроль, если не будут реализованы должным образом; но риск должен быть ниже, чем надеяться, что ваша первая прошивка не будет содержать ошибок безопасности, позволяющих злоумышленникам повысить свои звания зомби.
источник