Certificação Digital no mundo da Internet das Coisas (Internet of Things – IoT)
29 de janeiro de 2015Internet das Coisas (IoT) é a nova grande moda do mundo da TI. Refere-se aos múltiplos dispositivos que estão conectados a internet sem a necessidade de interação com pessoas.
Os analistas de mercado estimam que será um novo mercado de crescimento muito rápido com capacidade de captar bilhões de dólares.
Já temos o exemplo do Nest (termostato comprado pelo Google por 3,2 bi), o Apple HomeKit (extensão do iOS 8 para automação do lar), entre outros.
Quando surgem mercados com grande potencial muitas empresas colocam o “time to market” a frente da segurança. Mas podemos imaginar que a falta de segurança poderá impactar o nosso dia-a-dia de maneira bem séria. Não podemos esquecer que nesse mundo estamos imersos em um conjunto quase ilimitado de câmeras, controladores, e tantos outros dispositivos que nem percebemos.
Certificação Digital e IoT
Como a certificação digital pode ajudar a aumentar a segurança da IoT? Os nossos mecanismos atuais são adequados?
E quando falamos de:
- Autenticação… Como pode ser feita sem alguém para digitar uma senha?
- Encriptação … Quais as informações que aparelhos médicos poderiam revelar sobre você?
- Integridade de Dados… Como a alteração não-autorizada de informações pode afetar o comportamento do dispositivo?
Falando de IoT, nos referimos muitas vezes a dispositivos com baixíssima capacidade de armazenamento e processamento. Como podemos adicionar segurança sem sobrecarregar o uso do dispositivo?
Como podemos gerir o ciclo de vida de dispositivos remotos, sendo que muitas vezes nem temos acesso fisico a eles? Tudo precisaria ser feito remotamente.
Quais são os modelos de confiança que devemos implementar? As Autoridades Certificadoras tradicionais, ICP-Brasil.. tem algum espaço nesse ecosistema? Ou os certificados devem ser emitidos pelos fabricantes ou provedores de serviços?
Qual o tempo de validade de um certificado para um dispositivo desses? 1 ano, 10 anos? Como revogá-los, e verificar a revogação daqueles com quem operamos? O dispositivo deveria utilizar LCR ou OCSP antes de aceitar conexões de outros dispositivos? E se essa tentativa falhar como ele deve se comportar?
Qual o risco para a segurança de cada um de nós quando os dispositivos que nos rodeiam e nos quais confiamos passam para o “lado negro da força”?
Acredito que o mercado tenha muito mais dúvidas do que certezas em relação a aplicação da certificação digital na IoT, mas talvez seja a grande oportunidade de criar um novo mercado com bilhões de dispositivos e muitas oportunidades de negócio.
Sérgio Leal
- Ativista de longa data no meio da criptografia e certificação digital.
- Trabalha com criptografia e certificação Digital desde o início da década de 90, tendo ocupado posições de destaque em empresas lideres em seu segmento como Modulo e CertiSign.
- Criador da ‘ittru’: Primeira solução de certificação digital mobile no mundo.
- Bacharel em Ciências da Computação pea UERJ desde 1997.
- Certificações:
– Project Management Professional (desde 2007)
– TOGAF 9.1 Certified
– Oracle Certified Expert, Java EE 6 (Web Services Developer, Enterprise JavaBeans Developer)- Sérgio Leal é colunista e membro do conselho editorial do Instituto CryptoID.