我正在阅读一些有关物联网设备安全性的文章,并发现了很多描述 PKI 如何改进当前基础架构的文章。但是,我不相信设置 PKI 是否会提高大多数物联网用例的安全性。我想知道我是否看到了不正确的东西。举个例子:
我了解工业控制系统中使用的物联网设备将如何从 PKI 中受益,因为它们通常在不受用户干扰的情况下进行通信,因此不能使用密码、生物识别和令牌等传统方法进行身份验证。
对于连接到互联网的相机、微波炉或冰箱等更基本的用例,我看不到 PKI 的附加值。我是否忽略了某些东西,或者 PKI 确实没有提高这些设备的安全性?
编辑:一些例子:
让我们看看你的冰箱。为什么它连接到互联网?它可以向制造商发送维护数据,连接到商店为您订购食物,或者告诉您其中的内容(“冰箱,我有多少鸡蛋?”)。
如果您将此数据归类为如果受到不利影响则没有影响,那么是的,像 PKI 这样的大规模基础设施将没有什么价值(风险很低)。
但是,它并没有那么低。想象一下黑客访问您的冰箱以提高温度并破坏全部内容?黑客访问冰箱并在您的帐户上订购大量食物怎么办?如果您存储的食物类型表明您的某些敏感信息(仅犹太食品或仅清真肉类,突然不再饮酒(怀孕?),或稳定消耗的 1-off 大订单蔓越莓汁(尿路感染)怎么办? ?))。关于门打开频率的统计数据(业主是否离开?)以这种方式评估信息表明风险水平完全不同。
PKI(正确实施)可以保护控制数据(谁可以订购、谁可以访问、谁可以更改设置)并且可以保护静态信息和传输中的信息。
想象一下 WhatsApp 或类似 Signal 的加密过程,其中只有制造商的证书或您的手机应用程序可以访问控制功能,甚至某些数据。这就是 PKI 可以派上用场的地方。