Certificação Digital no mundo da Internet das Coisas (Internet of Things – IoT)

Sérgio Leal

Internet das Coisas (IoT) é a nova grande moda do mundo da TI. Refere-se aos múltiplos dispositivos que estão conectados a internet sem a necessidade de interação com pessoas.

Os analistas de mercado estimam que será um novo mercado de crescimento muito rápido com capacidade de captar bilhões de dólares.

Já temos o exemplo do Nest (termostato comprado pelo Google por 3,2 bi), o Apple HomeKit (extensão do iOS 8 para automação do lar), entre outros.

Quando surgem mercados com grande potencial muitas empresas colocam o “time to market” a frente da segurança. Mas podemos imaginar que a falta de segurança poderá impactar o nosso dia-a-dia de maneira bem séria. Não podemos esquecer que nesse mundo estamos imersos em um conjunto quase ilimitado de câmeras, controladores, e tantos outros dispositivos que nem percebemos.

Certificação Digital e IoT

Como a certificação digital pode ajudar a aumentar a segurança da IoT? Os nossos mecanismos atuais são adequados?

E quando falamos de:

• Autenticação… Como pode ser feita sem alguém para digitar uma senha?
• Encriptação … Quais as informações que aparelhos médicos poderiam revelar sobre você?
• Integridade de Dados… Como a alteração não-autorizada de informações pode afetar o comportamento do dispositivo?

Falando de IoT, nos referimos muitas vezes a dispositivos com baixíssima capacidade de armazenamento e processamento. Como podemos adicionar segurança sem sobrecarregar o uso do dispositivo?

Como podemos gerir o ciclo de vida de dispositivos remotos, sendo que muitas vezes nem temos acesso fisico a eles? Tudo precisaria ser feito remotamente.

Quais são os modelos de confiança que devemos implementar? As Autoridades Certificadoras tradicionais, ICP-Brasil.. tem algum espaço nesse ecosistema? Ou os certificados devem ser emitidos pelos fabricantes ou provedores de serviços?

Qual o tempo de validade de um certificado para um dispositivo desses? 1 ano, 10 anos? Como revogá-los, e verificar a revogação daqueles com quem operamos? O dispositivo deveria utilizar LCR ou OCSP antes de aceitar conexões de outros dispositivos? E se essa tentativa falhar como ele deve se comportar?

Qual o risco para a segurança de cada um de nós quando os dispositivos que nos rodeiam e nos quais confiamos passam para o “lado negro da força”?

Acredito que o mercado tenha muito mais dúvidas do que certezas em relação a aplicação da certificação digital na IoT, mas talvez seja a grande oportunidade de criar um novo mercado com bilhões de dispositivos e muitas oportunidades de negócio.

Sérgio Leal 

• Ativista de longa data no meio da criptografia e certificação digital.
• Trabalha com criptografia e certificação Digital desde o início da década de 90, tendo ocupado posições de destaque em empresas lideres em seu segmento como Modulo e CertiSign.
• Criador da ‘ittru’: Primeira solução de certificação digital mobile no mundo.
• Bacharel em Ciências da Computação pea UERJ desde 1997.
• Certificações:
  – Project Management Professional (desde 2007)
  – TOGAF 9.1 Certified
  – Oracle Certified Expert, Java EE 6 (Web Services Developer, Enterprise JavaBeans Developer)
• Sérgio Leal  é colunista e membro do conselho editorial do Instituto CryptoID.