Plug-and-Go-Lösung für das IIoT
Je weniger Zugriffsmöglichkeiten, desto sicherer das IIoT
Fortsetzung des Artikels von Teil 2
Digital signierte Updates
Mit welchen Verschlüsselungsmethoden arbeitet die Tosibox-IIoT-Lösung?
In unseren Produkten verwenden wir branchenübliche und bewährte Techniken wie das RSA-Verschlüsselungssystem, AES-Verschlüsselung, Diffie-Hellman-Schlüsselaustausch und TLS. Die VPN-Krypto-Architektur setzt auf PKI mit 2048-, 3072- und 4096-bit-RSA-Schlüsseln, die physisch ausgetauscht werden. Dabei wird die VPN-Datenverschlüsselung mittels AES-128/192/256-bit-CBC durchgeführt. Der Übertragungskanal erhält eine AES-256-bit-Verschlüsselung (AES-256-CBC). Dabei erfolgt die Schlüsselübertragung über TLS Diffie-Hellman und Client-Zertifikate. Zur erstmaligen Kopplung wird ein Schlüssel physisch ausgetauscht oder abgesichert über das Internet übertragen. Beim Austausch selbst kommt RSA-signiertes PKI zum Zuge. Die Tosibox-Lock-Firewall beruht auf einem Linux-Netfilter.
Welche Rolle spielt VPN-Tunneling für die Tosibox-IIoT-Lösung?
VPN-Tunneling ist für uns eine Schlüsselkomponente. Sie sorgt für eine verschlüsselte End-to-End-Verbindung: Die VPN-Verbindung wird direkt zwischen den Tosibox-Geräten aufgebaut, und die Daten lassen sich nur an den Endpunkten der Verbindung (an den Geräten) entschlüsseln. Niemand – einschließlich Tosibox – ist in der Lage, die Daten dazwischen zu entschlüsseln.
Wie lässt sich die Tosibox-IIoT-Lösung in OEM-Devices integrieren?
Die Tosibox lässt sich als Sicherheitselement selbstverständlich auch in OEM-Lösungen integrieren. Ein Beispiel dafür ist die Integration der Tosibox bei Fidelix, einem finnischen Anbieter von Gebäudeautomatisierungssystemen. Die Tosibox fungiert dabei als Zugriffskontrolle für Fernzugriff und Fernwartung. Weil unsere Lösung jedoch generisch einsetzbar ist, sind auch andere Integrationen denkbar.
Wie funktioniert mit der Tosibox-IIoT-Lösung ein sicherer Remote-Zugang zum IIoT?
Der Vorteil von Tosibox ist, dass sich der Administrator des IIoT nicht um die tatsächliche Connectivity oder die Sicherheit der Verbindung kümmern muss, weil die Tosibox-Lösung diese Aufgabe übernimmt. Dafür sind jedoch zuerst einige Einrichtungsschritte zu erledigen: Zunächst muss ein physischer Abgleich vorgenommen werden. Dabei wird der Key in den USB-Anschluss des Lock gesteckt. Im Verlauf dieses Prozesses tauschen die Geräte ihre Sicherheitszertifikate (und öffentlichen Schlüssel) aus. Der somit durchgeführte Abgleich ist die Grundlage für die gesamte künftige Kommunikation der Geräte.
Zur Kommunikation beider Geräte muss im Anschluss noch der Verbindungsaufbau zwischen Key und Lock erfolgen. Hierzu registrieren sich Key und Lock beim verteilten MatchMaker-Dienst, und der Key fordert eine Verbindung zum Lock an. Der somit direkt zwischen den Tosibox-Geräten eingerichtete VPN-Tunnel wird über Zertifikate und PKI gegenseitig authentifiziert. Zudem wird die Verbindung End-to-End-authentifiziert und verschlüsselt. Die Ver- und Entschlüsselung erfolgt an den Endpunkten der Verbindung.
Wie funktionieren Cyber-Security-Updates mit der Tosibox-IIoT-Lösung?
Wie bei Security-Appliances üblich, sollten Anwender die Software des Key und des Lock regelmäßig aktualisieren, um sie auf dem neuesten Stand zu halten. Hierzu empfehlen wir, die Funktion für automatische Updates zu aktivieren. Der Lock prüft bei aktivierter Funktion zu vorher festgelegten Zeitpunkten, ob Updates verfügbar sind, und installiert diese gegebenenfalls selbstständig. Im Falle des Key informiert dieser über mögliche Aktualisierungen, sofern ein Update zur Verfügung steht. Unsere Updates sind stets digital signiert, sodass niemand sie fälschen kann.
- Je weniger Zugriffsmöglichkeiten, desto sicherer das IIoT
- Der Aufbau von Cyber-Security-Systemen für das IIoT
- Digital signierte Updates
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Marktstudie zu Industrial IoT
Optimierung geht vor Innovation
Mess- und Prüftechnik / Software
Batterieoptimierung im IoT
