O que é atestado de dispositivo?

Jeremy O’Donoghue da GlobalPlatform
Como uma organização baseada na experiência e nas percepções de nossos membros, aproveitamos a oportunidade para discutir algumas das tecnologias novas e emergentes que moldam nossos setores e como a GlobalPlatform está trabalhando para definir padrões que permitem que dispositivos e serviços digitais sejam seguros trazido para o mercado.

Nesta entrevista, Jeremy O’Donoghue, presidente dos Trusted Platform Services da GlobalPlatform (TPS) Comitê e diretor de engenharia da Qualcomm , explica o que é o atestado e por que ele é tão importante para o sucesso das implantações seguras de IoT. Jeremy também compartilha informações sobre a especificação da API de atestado de entidades da GlobalPlatform e como ela trará maior confiança ao ecossistema de dispositivos conectados.

GlobalPlatform:Em primeiro lugar, o que é atestado de dispositivo?

Jeremy O’Donoghue: A ideia básica da atestação é que ela é uma evidência confiável ou prova sobre algo. No caso de um sistema de segurança cibernética, por exemplo, significa que uma parte confiável, como um banco ou um provedor de nuvem IoT, pode ter certeza do que está recebendo de um dispositivo.

Indo mais fundo nisso, o que realmente queremos dizer com atestado é que temos um ambiente seguro - uma raiz de confiança (RoT) - que fornece evidências assinadas criptograficamente sobre o estado do dispositivo. Por exemplo, ele é inicializado com segurança, a depuração está habilitada, há alguma evidência de adulteração? Isso habilita a parte confiável, porque é assinado criptograficamente, para verificar se é um dispositivo específico de um determinado fabricante e se não foi adulterado antes de ser conectado à rede

GlobalPlatform:por que o atestado é importante para o sucesso das implantações da Internet das coisas (IoT)?

Jeremy O’Donoghue: Um dos grandes desafios da IoT tem sido alcançar a confiança no número crescente de "coisas" que agora estão se conectando às nossas redes. Eles são realmente o que dizem que são? Eles se comportarão como deveriam e não causarão riscos à rede? E vimos que a segurança é um problema real. O atestado nos ajuda a encontrar os dispositivos que foram adulterados, ou podem ter uma versão inválida ou desatualizada de software em execução, ou mesmo serem totalmente falsos, para serem identificados. Esses são os tipos de coisas que você pode determinar.

Ao ter confiança nas coisas em sua rede, apoiado por um RoT e idealmente um certificado de segurança, você começa a fazer avaliações reais e precisas sobre o que você tem e o quanto você pode confiar.

GlobalPlatform:Existe algum desafio de interoperabilidade e ele está limitando a adoção?

Jeremy O’Donoghue: Hoje é muito difícil fazer atestados confiáveis ​​e, na prática, as partes confiáveis ​​precisam usar algum tipo de conjunto proprietário de métricas para identificar informações sobre o dispositivo com o qual estão falando. Há uma atividade contínua entre os órgãos de padronização para garantir um padrão de base único e interoperável, de modo que as partes confiáveis ​​e os fabricantes de dispositivos possam ter certeza de que o que estão desenvolvendo provavelmente será amplamente utilizado e interoperável.

A GlobalPlatform está particularmente bem posicionada para ajudar porque, com nossos programas de conformidade e todos os nossos esquemas de teste de interoperabilidade, somos capazes de criar dispositivos que você pode ter certeza de que terão um alto grau de interoperabilidade. Além disso, e o que é crucial, é que toda a estrutura de atestado que estamos usando já está sendo amplamente padronizada na IETF, e há um interesse crescente de outros grupos. Estamos confiantes de que, com o tempo, os desafios de interoperabilidade desaparecerão e haverá uma maneira única e confiável de determinar evidências confiáveis ​​sobre um dispositivo que, por ser apoiado por um RoT, tem uma confiança genuína por trás dele.

GlobalPlatform:Qual é o valor da API de Atestado de Entidade da GlobalPlatform?

Jeremy O’Donoghue: O valor realmente é várias vezes. Estamos pegando um padrão desenvolvido abertamente - que é o trabalho do Token de Atestado de Entidade (EAT) da IETF - e o estamos estendendo para definir o EAT que foi produzido em uma GlobalPlatform RoT. Indo um passo adiante, estamos definindo como esse RoT se comporta e cobrindo a certificação de segurança dele. Isso permitiria um atestado confiável, e não apenas um de um Secure Element (SE) ou Trusted Execution Environment (TEE), mas um de um RoT que foi certificado de forma independente, por exemplo, sob a certificação de segurança GlobalPlatform TEE ou Common Criteria. Isso é um valor enorme porque traz a capacidade de saber de uma forma confiável que outra pessoa auditou aquele RoT.

GlobalPlatform:Quais são as próximas etapas para o ecossistema?

Jeremy O’Donoghue: A primeira coisa é terminar as especificações e começar logo com os testes de interoperabilidade, que planejamos para 2020. Então, e este é o fator crítico, examinaremos a certificação de segurança. Como discutido anteriormente, um RoT por sua natureza é algo em que você deve confiar. A melhor maneira de garantir essa confiança é fazer com que um terceiro faça a auditoria, por exemplo, um laboratório de segurança independente que sabe como quebrar coisas e pode lhe dizer o nível real de segurança que você deve ter.

Junte-se à GlobalPlatform para se envolver no trabalho do Comitê de Serviços de Plataforma Confiável da GlobalPlatform.

O autor é Jeremy O’Donoghue, presidente do Comitê de Serviços de Plataforma Confiável (TPS) da GlobalPlatform e diretor de engenharia da Qualcomm.