• 晶片資安第一站

(下)物聯網安全:混亂而破碎的標準與認證

前情提要:儘管物聯網設備的數量不斷增長,然而它的安全性卻深受挑戰;最大的問題之一就是目前有太多物聯網相關的安全認證,但它們並沒有一致性,使得設計者與消費者都無所適從。如今,政府也開始嘗試制定相關規範,而企業財團則從中學習。疊床架屋之下,物聯網安全認證該何去何從?

百家爭鳴的法規機構

從入門級別開始,物聯網資安基金會(IoTSF)制定了自我認證的基本準則與方法。換句話說,它們的方法試圖去證明廠商透過流程完成了認證,旨在確認正確的觀念和技術有被應用在特定設備上。

再來說到晶片層級,美國最著名的機構是由安謀科技跟其生態系統夥伴一起創立的平台資安架構 PSA;此平台有權授予「PSA 認證」。實驗室會合作執行已被認證的產品驗證,確認其是否符合所宣稱的安全宣告。他們的重點有很大一部分是放在微控制器跟微處理器系統上。

由於主事者的身分,PSA 可能會被認為是專注在安謀科技的結構上;但安謀科技強調,使用安謀科技的技術並非是 PSA 認證的必備項目。另外,大多數人可能認為 PSA 認證主要用於晶片,但實際上它也囊括了系統層級的認證。

在歐洲,全球平台組織創立了物聯網平台安全評估標準(SESIP)。此標準目前仍以晶片為主,但它的範圍比 PSA 要廣泛的多。SESIP 就像是個輕量級版本的安全評估共通準則。如果獲得 SESIP PSA 認證,表示產品同時符合了 SESIP 以及 PSA 的規範;但反之則不然,若是產品只有 PSA 認證的話,不代表它能通過 SESIP 的認證資格。

這些認證遠稱不上完美,但至少它們做到了迫使公司去檢查他們的設計、資訊工程以及他們的設施。

接著是系統層級的安全標準。目前我們有物聯網安全全球標準 ioXt,主要適用於有規模的物聯網;其部分內容借鑑了安全評估共通準則。它採取了所謂的“複合式”方法,當執行設備認證時,元件或是模組的認證也被認為是可接受的。舉例來說,擁有 PSA 認證的晶片可直接將此認證「導入」並將它用於 ioXt 認證。

像這樣的做法有助於沒有資安專業小型企業進入市場。這種方法使用了事先建構好的安全系統,因為他們可以提前幫他們的晶片進行預先認證。如此一來,產品因為某部分的認證費用已經被分攤掉了,就可以更容易的銷售給系統建構商。同樣的,使用預先認證的 IP 能使得晶片認證流程變得更容易。

與此同時,Eurosmart 正在著手開發建構在歐洲網路安全認證框架的方法:

  • GSMA 的物聯網安全部門提出了利用 SIM卡 當作信任根的架構
  • 法規 ISO 21434 包含了針對路上交通工具的要求
  • 美國無線產業協會對透過行動網路的通訊設備執行全球認證論壇的規定

更重要的是,雲端服務供應商可能會有他們自己的規則,而使用該服務的設備都必須跟著他們的規定走。除此之外,電機電子工程師學會(IEEE)跟優力國際安全認證實驗室(UL)也都不甘示弱的表示他們也想參與這場盛會。優力國際安全認證實驗室的加入所帶來的好處可能是獲得消費者的認同,畢竟我們已經習慣在各種常用的家用電器上看到優力認證。

同時,工業團體正同心協力的定義出一套適用於特定應用程式的安全檔案。雖然決定權往往由大公司所主導,但他們都是公開的組織。對於小型企業來說,能參與決策內容也可以確保現行的制度不會大幅度的偏向資金雄厚的現任企業家們。

以這樣碎片化狀態來看,唯一像是合作或是合併的跡象,即是透過 SESIP 驗證來得到 PSA 認證。其他的部份短期內看不出有整合跡象。

嚴謹度跟度量指標 – 或不是

不同的評估方法有不同程度的嚴謹度。很明顯的,最不嚴格且最容易達成的方法是自我認證。你記錄下來你的安全性策略為何,並相信該份文件有辦法為你背書。

因為其他的組織透過實驗室驗證他們的安全宣告,相較之下嚴謹度更高。即使如此,開發者才是那個說明產品擁有什麼安全功能的人;實驗室的角色僅僅是驗證你是不是有能力達到你宣稱你能做的。

某些程式有不同的層級分別,在這樣的前提下,只要你符合某個範圍標準,你就符合該層級的認證。但這些層級間卻沒有一個統一的定義。

在驗證之中,量度指標是你絕對不會看到的東西。要定義這樣的指標數據是相當困難的,更別提達到一致性。除此之外,資安最大的挑戰來自於其不斷改變的特性。舉例而言,當你的產品在當下取得了某個分數,那麼你只能宣稱這個產品的安全性永遠不會高過這個分數了 ─ 因為隨著技術進展,這個產品的安全性只會不斷下滑。

設定期望目標

獲得認證的過程耗時且費心,這過程在制定整體開發計畫是必須被考量在內,如此一來才能在進度表上設定期望目標。

一個極端的例子是安全元件(SEs)。這些元件可能會花上兩年的時間去認證,而且即使只是改了程式碼的其中一行,也會讓進度延遲好幾個月。相較之下,PSA 認證只需要幾個月的時間即可完成。

專用術語也有不同。舉例來說,NIST 使用「驗證」一詞來表示我們所謂的認證,而安全評估共通準則跟 PSA 則是使用「已認證」來表示。

「符合規範」這個詞就更加複雜了。因為進行認證需要消耗大量時間、金錢與精力,所以很多公司會宣稱其產品符合規範 ─ 暗指他們實際上並沒有執行相關測試。

開發人員的下一步?

有鑑於目前的複雜境況,對於開發人員來說,他們很難知道哪裡能申請到認證。因此,這便成了產品經理的責任:他們必須儘早決定產品的認證策略為何。

益華電腦解決方案暨生態系統的資深集團總監 Frank Schirrmeister 提出了一個可升級版的認證規模。除了政府認可的安全規範外,也可著手開始進行物聯網資安基金會的自我認證。從這開始,你可以利用 PSA 或是 SESIP 的認證進行到下一階段的級別。因為有些企業組織是透過整體系統進行認證,因此適當的認證方式會隨著應用程式的不同而有所差異。

假如你需要的是最高級別的資安認證,你可以選擇 FIPS 140 認證,或是透過安全評估共通準則得到你想要的。但因為這個流程耗時又費心,因此除非能確定順利通過整個流程,否則一般是建議不要輕易嘗試。

Fig. 1: One possible way of organizing a hierarchy of certifications. The bottom illustrates the most basic sets of rules, while the topmost box requires significant effort and resources to achieve. Source: Bryon Moyer/Semiconductor Engineering

上圖為安全認證層級的示意圖,最底部的是最基本的規範,而最頂層的則是需要耗費巨大的精力跟資源才有辦法達成。要特別注意,很多人都認為 PSA 只專注在晶片層級,但安謀科技表示他們也有做系統層級的相關認證。他們同時也聲稱物聯網安全全球標準是專屬於應用程式的。
來源:Bryon Moyer / 半導體工程

物聯網消費者該怎麼辦?

消費者呢?對消費者他們而言,他們希望能在下手購買前,在產品上看到他們所信任的認證標籤。然而,現在他們事實上無法獲得任何保障,因為今時今日這樣的認證標籤並不存在,不過,要是優力國際安全認證實驗室能通過大眾所接受的認證流程,或許它就是消費者期望看到的那張小貼紙。

今天,在沒有認證標籤的狀態下,消費者只能假設手中的產品都是安全無虞的 ─ 但這往往是個很糟的假設。直到今日,安全性仍不被視為是產品的必要條件,反而覺得是筆額外開銷;沒有認清事實的消費者正在用一種錯誤的安全觀念進行購物。

「消費者沒有任何的實質保證,而且我們也不敢期望消費者能分的清楚什麼才是好的。」Borza 表示,「因此,這是個急需被探討且著手處理的議題。我不敢明說,但我認為它確實需要被政府立法控管。」

讓能處理的企業來接手「消費者資安教育」似乎是個不錯的方法。像是蘋果長期表明自己注重隱私權的立場,多少能喚起一些民眾的注意,但這能幫助的的部分相當有限。而若期待政府立法管制是條漫不可及的路,那至少請無利益衝突的第三方消費者團體來監控或許可行。

毫無疑問的,即使安全的裝置和非安全的裝置都可供使用,較安全的裝置一定會較貴一些 ─ 很有可能貴挺多的。因此,相對應的安全規範可以制定一個合理的安全性基準線,所有的產品都必須符合最低要求,這樣一來安全性就不再成為價格競爭的理由之一。

同時我們也需要教育消費者,讓他們理解,為什麼花較多的錢購買相對安全性較高的產品是值得的。而對於工業裝置來說,我們很容易去設想這些公司會針對法規認證相關需求去聘請專業的資安專家。但事實相距甚遠。

在一切塵埃落定變成較簡單的計畫之前,找到最佳方式去執行產品安全性認證仍是一件混亂且困難的事情。因此,如何預先制定好相關流程,以及搞清楚晶片設計及系統設計的相關需求變的更加重要。

原文編譯自:IoT Security: Confusing And Fragmented

Share:
This site is registered on wpml.org as a development site.