物聯網安全分析

我們日常使用的許多東西正在變得智慧化並且都連入了網際網路。物聯網（IoT）將改善我們的生活，它幫助我們實現健康和健身目標、減少資源消耗、提高生產力、追蹤並確保資產安全。許多嵌入式開發人員意識到IoT的潛在好處並積極開發各種應用程式，範圍涉及家庭連線裝置、可穿戴和家庭安全系統等。然而，風險與收益並存。沒有人希望設計的應用程式容易受到攻擊或資料易遭竊取。引人注目的黑客攻擊會對品牌形象造成嚴重影響並失去客戶信任，最糟糕的是，它會減緩或永久性減少人們使用IoT。

IoT通常被稱為一場工業革命。可連線裝置的數量將在未來幾年內快速增長。如果跟蹤IoT的分析師之間有何爭議的話，那便是到底會有幾十億的可連線裝置。物聯網對社會的經濟價值預估為4至11萬億美元。在加速可連線裝置產品上市的競賽中，實現適當的安全措施會帶來一些麻煩，因為這會增加元器件成本、開發工作量和設計複雜度。

同時，適當的安全措施對某些產業來說並非至關重要。然而採取適當的安全措施是避免受到攻擊的關鍵。供應商的產品受到攻擊後，重大的安全和隱私問題以及負面報導可能會暫時或永久性減緩人們使用IoT。即使是在家庭和日常生活中的簡單裝置，許多消費者也對連線安全保持懷疑，一些研究人員和業界觀察人士更認為IoT安全災難必將發生。實際上，最近有很多高調曝光的攻擊廣受關注，因此有人認為這個災難已經來臨。請點選“閱讀原文”觀看完整的“物聯網安全分析”文章。

量子密碼學攻擊

當前IoT的安全狀況類似於量子密碼學，這通常指量子金鑰分配。與其他金鑰分配方案不同，量子密碼學承諾在物理定律的基礎上保證絕對安全性。而相比之下，大多數金鑰分配方案依賴於大數因式分解或離散對數問題計算複雜性的假設。儘管量子密碼學於1984年被發現，但直到2000年商業加密系統才被引進市場。量子密碼系統依賴於單個光子，搭建量子密碼系統很複雜，不過上市時間才是本質問題。2010年，第一個徹底打破量子密碼學系統的安全漏洞被公諸於眾。從理論上講，量子密碼學是不可能被破壞的，但實際上，並未考慮系統設計過程中的邊測和漏洞。

此外，有趣的是，直到組建專門的小組去破壞這些系統之前漏洞都未被發現。在組建該專門小組之前，整個產業都在關注如何使量子密碼學系統更穩健和如何使這些系統上市。量子密碼學類似事件給我們上了重要一課。最值得注意的是，它表明安全是一個持續不斷的發展過程，需要多學科方案來預測潛在的攻擊。當工程團隊試圖使某些事情變得像量子密碼系統一樣複雜時，他們可能也會弄不明白攻擊者是如何侵入系統的。整個過程相互矛盾。因此，需要將質量保證和安全團隊從搭建安全系統的工程團隊中分離出來。

另一個關鍵點是，量子密碼學系統受到攻擊肯定會暫時（如果不是永久地）降低該技術的市場接受度和對該技術的信任度。因此，如果產業能夠在前期階段對安全投入更多，那麼儘管這會使上市時間更長、成本更高，但最終也會大有裨益。

IoT安全分析

目前，IoT安全所必需的技術已經存在。但是缺乏如何實施這項技術的知識通常是大多數安全漏洞的根本原因。然而，一個“安全”的IoT裝置並不能確保能夠實現一個安全的系統。雖然如此，開發人員至少應當意識到以下型別的安全。

硬體安全

安全的IoT裝置具有許多安全特性。首先，它使用對稱密碼來執行安全啟動和安全引導載入或空中（OTA）韌體更新。安全的IoT裝置還使用硬體加密加速器，它們更快、更節能，並且更不易受到邊通道分析攻擊。

在安全的IoT裝置中，除錯埠是禁用的。如果在某些時候需要重新開啟除錯埠（例如需要遠端儲存器存取或由於其他原因），就要通過一個使用公開金鑰認證的認證質詢響應方案來實現。雖然安全啟動和引導載入可防止攻擊者修改程式儲存器，但安全的IoT裝置能夠進一步限制對於程式儲存器的訪問讀取。這通常意味著裝置具有內部儲存器或內建快閃記憶體。在使用外部儲存器的情況下，這也意味著外部儲存器的內容需被簽名和加密。

軟體安全

為了確保在安全的IoT裝置上執行的軟體能進一步加強安全性，必須在關鍵部分進行硬體化。這意味著它可以阻止跳過單條指令。例如，安全啟動簽名檢查或密碼簽名檢查。這種方法可確保即使攻擊者能夠使處理器跳過一條指令，那麼也不會產生關鍵性的安全後果。此外，為了避免程式碼中的安全問題或第三方庫引起系統範圍的存取，可採用ARMv8M的TrustZone對不同庫進行分割槽管理。

本文出處：暢享網

本文來自雲棲社群合作伙伴暢享網，瞭解相關資訊可以關注vsharing.com網站。