Como organización que se basa en la experiencia y los conocimientos de nuestros miembros, hemos aprovechado la oportunidad para discutir algunas de las tecnologías nuevas y emergentes que dan forma a nuestras industrias, y cómo GlobalPlatform está trabajando para definir estándares que permitan que los dispositivos y servicios digitales estén seguros traído al mercado.

En esta entrevista, Jeremy O’Donoghue, presidente de GlobalPlatform’s Servicios de plataforma de confianza (TPS) Comité y director de ingeniería en Qualcomm, explica qué es la certificación y por qué es tan importante para el éxito de las implementaciones de IoT seguras. Jeremy también comparte información sobre la especificación API de certificación de entidad de GlobalPlatform y cómo brindará una mayor confianza al ecosistema de dispositivos conectados.

GlobalPlatform: en primer lugar, ¿qué es la certificación de dispositivos?

Jeremy O'Donoghue: La idea básica de la certificación es que es evidencia confiable o prueba de algo. En el caso de un sistema de ciberseguridad, por ejemplo, significa que una parte que confía como un banco o un proveedor de IoT en la nube puede estar seguro de lo que está recibiendo de un dispositivo.

Profundizando en eso, lo que realmente queremos decir con certificación es que tenemos un entorno seguro, una raíz de confianza (RoT), que proporciona evidencia firmada criptográficamente sobre el estado del dispositivo. Por ejemplo, ¿se inicia de forma segura, está habilitada la depuración, hay alguna evidencia de alteración? Esto permite a la parte que confía, porque es firmado criptográficamente, para verificar que es un dispositivo particular de un fabricante en particular, y que no ha sido manipulado antes de conectarse a la red

GlobalPlatform: ¿Por qué es importante la certificación para el éxito de las implementaciones de Internet de las cosas (IoT)?

Jeremy O'Donoghue: Uno de los grandes desafíos de IoT ha sido lograr la confianza en el creciente número de "cosas" que ahora se conectan a nuestras redes. ¿Son realmente lo que dicen que son? ¿Se comportarán como deberían y no causarán riesgos a la red? Y hemos visto que la seguridad es un problema real. La certificación nos ayuda a encontrar aquellos dispositivos que han sido manipulados o que pueden tener una versión de software defectuosa u obsoleta ejecutándose en ellos, o incluso ser falsos, para ser identificados. Estos son los tipos de cosas que puede determinar.

Al tener confianza en las cosas en su red, respaldado por un RoT e idealmente uno que tiene certificación de seguridad, comienza a hacer evaluaciones reales y precisas sobre lo que tiene y cuánto puede confiar en él.

GlobalPlatform: ¿Existen desafíos de interoperabilidad y limitan la adopción?

Jeremy O'Donoghue: Hoy en día es muy difícil hacer certificaciones confiables y, en la práctica, las partes confiantes tienen que usar algún tipo de métrica patentada para identificar información sobre el dispositivo con el que están hablando. Existe una actividad continua entre los organismos de estándares para garantizar un estándar base único e interoperable, de modo que las partes confiantes y los fabricantes de dispositivos puedan estar seguros de que lo que están desarrollando es probable que sea ampliamente utilizado e interoperable.

GlobalPlatform está particularmente bien posicionado para ayudar porque, con nuestros programas de cumplimiento y con todos nuestros esquemas de pruebas de interoperabilidad, podemos crear dispositivos en los que puede confiar tendrá un alto grado de interoperabilidad. Además, y lo que es crucial, es que todo el marco de certificación que estamos utilizando ya está ampliamente estandarizado en el IETF, y hay un creciente interés por parte de otros grupos. Confiamos en que, con el tiempo, los desafíos de interoperabilidad desaparecerán y habrá una forma única y confiable de determinar evidencia confiable sobre un dispositivo que, debido a que está respaldado por un RoT, tiene una verdadera confianza detrás de él.

GlobalPlatform: ¿Cuál es el valor de la API de certificación de entidad de GlobalPlatform?

Jeremy O'Donoghue: El valor realmente es varias veces. Estamos tomando un estándar desarrollado abiertamente, es decir, el trabajo del token de certificación de entidad (EAT) del IETF, y lo estamos ampliando para definir el EAT que se ha producido en un GlobalTlatform RoT. Yendo un paso más allá, estamos definiendo cómo se comporta ese RoT y cubriendo la certificación de seguridad del mismo. Esto permitiría una certificación confiable, y no solo una de un Elemento Seguro (SE) o un Entorno de Ejecución Confiable (TEE), sino una de un RoT que haya sido certificado de forma independiente, por ejemplo, bajo la certificación de seguridad GlobalPlatform TEE o Criterios Comunes. Es un gran valor porque brinda la capacidad de saber de manera confiable que alguien más ha auditado ese RoT.

GlobalPlatform: ¿Cuáles son los próximos pasos para el ecosistema?

Jeremy O'Donoghue: Lo primero es terminar las especificaciones y luego comenzar temprano con las pruebas de interoperabilidad, que estamos planeando para 2020. Luego, y este es el factor crítico, analizaremos la certificación de seguridad. Como mencioné anteriormente, un RoT por su naturaleza es algo en lo que debe confiar. La mejor manera de garantizar esa confianza es conseguir que un tercero la audite, por ejemplo, un laboratorio de seguridad independiente que sepa cómo romper las cosas y pueda decirle el nivel real de seguridad que debe tener.

Únase a GlobalPlatform para participar en el trabajo del Comité de Servicios de Plataforma de Confianza de GlobalPlatform.

El autor es Jeremy O’Donoghue, presidente del Comité de Servicios de Plataforma Confiable (TPS) de GlobalPlatform y director de ingeniería en Qualcomm.

Dejar respuesta

Please enter your comment!
Please enter your name here