Rezumat

Provisioning-ul securizat atribuie fiecărui dispozitiv o identitate unică la prima alimentare.

Elementele de securitate (ATECC608, NXP EdgeLock) păstrează chei private care nu părăsesc niciodată cipul.

AWS IoT, Azure DPS și PKI personalizat acceptă toate înregistrarea pe partea de producție.

Linia de producție este locul unde fie totul funcționează corect, fie apar defecte în teren.

De ce provizionarea securizată trebuie făcută în producție

Un dispozitiv conectat care iese din fabrică fără identitate trebuie provizionat pe teren. Provizionarea pe teren înseamnă un pas manual (sau o auto-înrolare vulnerabilă) la instalare. Ambele creează dificultăți operaționale și expunere la riscuri de securitate.

Provizionarea în producție dă dispozitivului o identitate criptografică unică înainte de livrare. Dispozitivul pornește, se autentifică și se înrolează fără intervenție manuală.

Elemente securizate

Microchip ATECC608 și NXP EdgeLock sunt elemente securizate uzuale pentru IoT. Ambele permit:

Generarea cheii private ECC în interiorul cipului (cheia nu iese niciodată afară)
Semnarea și verificarea certificatelor
Protecție anti-replay bazată pe contor
Comportament cu detectarea tentativelor de manipulare

Linia de producție generează o cheie în interiorul elementului securizat, semnează un certificat cu CA-ul rădăcină, scrie certificatul pe dispozitiv și înregistrează cheia publică asociată seriei.

Înrolarea certificatului X.509

X.509 este formatul standard pentru certificate. Înrolarea în producție urmează de regulă acest tipar:

Elementul securizat generează o pereche de chei ECC (cheia privată rămâne blocată în cip)
Sistemul de producție citește cheia publică
Sistemul de producție semnează certificatul folosind CA-ul rădăcină susținut de HSM
Certificatul este scris înapoi pe dispozitiv
Cheia publică și amprenta certificatului sunt înregistrate asociate seriei

Cheia privată a CA-ului rădăcină nu atinge niciodată linia de producție. Ea rămâne într-un HSM aflat într-un mediu controlat.

AWS IoT și Azure DPS

AWS IoT permite Just-in-Time Provisioning (JITP) și Multi-Account Registration. Azure Device Provisioning Service (DPS) permite atestarea X.509, atestarea Trusted Platform Module (TPM) și atestarea cu cheie simetrică.

Ambele permit liniei de producție să preînregistreze dispozitivele, astfel încât acestea să se înroleze automat la prima conectare în cloud. Fluxul în producție:

Dispozitivul este provizionat cu certificat X.509
Amprenta certificatului este înregistrată în cloud DPS
Dispozitivul pornește pe teren, prezintă certificatul, se înrolează automat
Cloud-ul îl atribuie grupului corect și îi descarcă configurația

Un PKI propriu urmează același tipar, cu infrastructură internă în locul AWS sau Azure.

Flux de producție care funcționează

CA rădăcină susținut de HSM, într-un mediu controlat, accesat printr-un API de semnare
Generare de cheie per unitate în interiorul elementului securizat, direct pe linie
Semnare de certificat prin apel API (fără expunerea materialului de cheie)
Preînregistrare în cloud DPS ca parte a pasului de provizionare
Înregistrare de înrolare per unitate, păstrată în baza de date de producție
Gestionare opțională a listei de revocare pentru dispozitive scoase din uz sau pierdute

Capcane frecvente

Cheia privată a CA-ului rădăcină ținută pe linia de producție (nu în HSM)
Aceeași cheie programată pe mai multe dispozitive („mod de test care a ajuns în producție")
Amprenta certificatului înregistrată, dar nepreînregistrată în cloud DPS
Flux de provizionare făcut manual pe câteva unități, niciodată scalat

Surse

Documentația AWS IoT Just-in-Time Provisioning
Documentația Microsoft Azure Device Provisioning Service
Documentația elementului securizat Microchip ATECC608
Documentația elementului securizat NXP EdgeLock

Provisioning securizat pentru fabricația dispozitivelor IoT