No existe un solo camino para asegurar los dispositivos móviles y las redes. Esta serie de tres entregas de artículos, explorarán un trío de diferentes acercamientos a la seguridad que deben considerar aquellas empresas que estén implementando tecnologías del Internet de las Cosas (IoT) conforme vayan desarrollando sus productos y servicios.
Por Mary Catherine O'Connor
agosto 3, 2015 -
En Español por Luis Angel González Villa
En todas las conversaciones acerca de la importancia de proteger la seguridad del Internet de las Cosas, las discusiones a menudo carecen de detalle. Pero en recientes semanas, IOT Journal ha conversado con tres organizaciones que están desarrollando diferentes acercamientos a la seguridad y privacidad de los datos en el IoT. El artículo de hoy se focaliza en un nuevo acercamiento que fue desarrollado en Sandia National Laboratories, donde ahora se están buscando asociados tecnológicos para ayudar a comercializar el acercamiento de una forma que pudiera incrementar las aplicaciones del IoT.
Cuando Peter Choi, un miembro directivo técnico de Sandia National Laboratories, empezó a trabajar en los acercamientos tecnológicos que las agencias internacionales pudieran usar para asegurar el cumplimiento con los tratados de no proliferación nuclear, el nunca pensó que podría desarrollar algo que también pudiera ser utilizado para incrementar la seguridad del Internet de las Cosas, incluyendo tarjetas inteligentes y otros dispositvos de identificación por radio frecuencia.
“Los países que tratan con recursos nucleares firman tratados que dicen, ‘Nosotros solo estamos usando esto para energía, no para armas’”, explica Choi. Para ayudar a monitorear las acciones de esas naciones, la comunidad internacional “tiene una sería necesidad para censar los dispositivos que pueden estar ubicados en otros países.”Los acercamientos más recientes recaen en tags de RFID, dice Choi, los cuales son susceptibles a detectar remociones no autorizadas por aquellos quienes podrían modificar la información o cambiar los identificadores únicos de los tags para intentar ejercer acciones para violar los tratados. Cuando se buscó una alternativa tecnológica, Choi y su equipo de trabajo estudiaron de cerca un concepto de encripción llamado la función físicamente no clonable (PUF).
PUF puede implementarse de diferentes formas, pero todos los acercamientos explotan muy pocas variantes (a menudo medidas en nano escalas) de la fabricación de los chips. Por ejemplo, los fabricantes de chips usan millones de transistores, y un proceso altamente controlado con el objetivo de producir circuitos integrados de tal forma que cada uno es exactamente igual a los otros. “Pero cuando estas soldando estos pequeñísimos transistores, no hay proceso de manufactura que pueda controlar la cantidad de metal que se aplica al chip en el nivel molecular”, explica Choi. “Así que hay variantes a nivel de nano escala en la producción de IC que brindan un carácter único a cada circuito”. Como resultado, nos dice, cada IC cuenta con su huella digital única.
Pero usar el PUF para autenticar dispositivos tiene algunas contras. Por ejemplo, la temperatura ambiente y la antigüedad de un dispositivo puede impactar la propagación de la señal de forma suficiente para generar cambios en la huella del PUF. Así que después de mayores estudios, Choi y su equipo creó un acercamiento que ellos llamaron el identificador físico no clonable (PUDID). Este está basado en PUF, pero usa la huella en escala macro en lugar de nano escala. En la macro escala, un hacker puede tener la capacidad de reproducir la huella, pero esa huella puede ser tan compleja que pudiera resultar ser muy costoso el poderla hackear.