Pour leurs opérations quotidiennes, les entreprises s'appuient sur des communications numériques sécurisées grâce à des certificats numériques basés sur la PKI. Ces certificats sont généralement utilisés pour l'authentification des appareils et des utilisateurs, les communications sécurisées via TLS/SSL, les communications entre programmes et entre machines (y compris de l'Internet des Objets), la signature numérique et la signature du code.
En raison de sa polyvalence et de sa capacité destinée à évoluer, la PKI devrait jouer un rôle crucial pour fournir un fondement sécurisé pour l'authentification et l'identité des appareils, conjointement à la sécurité matérielle. Pourtant, la PKI telle que nous la connaissons aujourd'hui est axée essentiellement sur les cas d'utilisation d'entreprise. Pour pouvoir bien fonctionner avec l'Internet des Objets, la PKI nécessitera des adaptations, en voici 5.
Dimensionnement : La PKI doit pouvoir supporter la délivrance de certificats en grand volume, disposant de cycles de vie variables. Dans certains cas, cela peut également nécessiter une grande rapidité (par exemple, dans le cas des chaînes de fabrication) et/ou des certificats de courte durée. Si une PKI sur site peut s’adapter avec succès aux besoins de l'internet des objets (notamment pour les cas d'utilisation à faible latence), les PKI managées, et les PKI hébergées dans le Cloud offriront probablement aux entreprises une mise en place plus facile et des économies d’échelle.
Certificats de longue durée : Les certificats numériques ont des durées de vie définies et, à ce titre, possèdent des dates d'expiration. Traditionnellement, ces dernières se mesurent en années. Dans l'univers de l'Internet des Objets, certaines utilisations peuvent nécessiter des certificats de courte durée, tandis que beaucoup d'autres auront besoin de certificats d'une durée beaucoup plus longue. C'est le cas, par exemple, d'un appareil grand public configuré avec un certificat de longue durée au moment de la fabrication, pour permettre l'authentification par certificat à long terme. Les clients doivent avoir conscience que ces derniers, même s'ils ne nécessitent guère de changements sur la durée, peuvent être problématiques en cas de compromissions de la PKI ou de l'autorité de certification. Les responsables de projets liés à l'Internet des Objets devront déterminer la durée de vie requise de ces certificats numériques, en pesant le pour et le contre. Cette durée peut varier, mais jusqu'à présent Gartner constate un intérêt plus marqué pour les certificats de longue durée.
Interopérabilité du matériel de la PKI : La PKI doit pouvoir communiquer directement avec un environnement de sécurité matériel (par exemple, élément sécurisé, TPM ou environnement d'exécution de confiance) pour générer correctement les clés cryptographiques et stocker les certificats. L'un des problèmes majeurs paralysant les environnements des appareils mobiles réside dans le fait que ces environnements sécurisés sont inaccessibles par la pile logicielle. Cela conduit un certain nombre de développeurs à stocker les éléments de clé cryptographique dans les logiciels, qui sont considérés comme moins sécurisés que la sécurité matérielle. En conséquence, les responsables de projets liés à l'Internet des Objets doivent s'assurer que leurs environnements de sécurité matériels sont accessibles via des mécanismes sécurisés. Ceux-ci peuvent être automatisés à l'aide de la plate-forme de l'Internet des Objets ou de la PKI.
Déploiement sécurisé de certificats : Les méthodes traditionnelles, telles que le protocole simple d'inscription de certificats (SCEP), sont efficaces en entreprise, notamment lorsqu'elles étendent la PKI afin d'offrir l'authentification et l'identité des appareils pour les appareils mobiles. Le protocole SCEP peut fonctionner pour certains appareils de l'Internet des Objets, mais sera généralement insuffisant pour les organisations disposant d’appareils limités et/ou dans des environnements réseau ouverts. Cette lacune du protocole SCEP est due au fait qu'il a été conçu pour les réseaux d'entreprise traditionnels, où chaque appareil derrière le firewall était supposé digne de confiance. Par opposition, le protocole plus récent d'inscription via la couche transport sécurisée (EST) exploite les avantages du protocole SCEP. Cependant il pallie bon nombre des points faibles, en l'occurrence la confiance vis-à-vis des appareils. Le protocole EST utilise des mécanismes sécurisés, tels que TLS, pour établir un bon niveau de confiance et crée donc un environnement sécurisé de délivrance de certificats (pour plus d'informations, lire le livre blanc de Cisco "PKI: Simplify Certificate Provisioning With EST"). Le protocole EST est encore récent, raison pour laquelle la prise en charge par les fournisseurs de PKI commerciale est actuellement peu répandue.
Gestion du cycle de vie des certificats : Les certificats ont des cycles de vie qui nécessitent d'être gérés. Les processus manuels de suivi et d'identification des certificats n'évolueront pas et ne suffiront donc pas dans le domaine de l'Internet des Objets. Si des solutions existent du côté des entreprises, un nombre croissant de fournisseurs de solutions de gestion de certificats proposent l'élaboration de plates-formes de gestion évolutives pour gérer les cas d'utilisation de l'Internet des Objets. Les responsables de projets liés à l'Internet des Objets qui envisagent des méthodes d'authentification et d'identité basées sur les certificats X.509 pour l'Internet des Objets doivent rechercher des solutions comportant des systèmes de gestion de certificats intégrés ou interopérables.
S'il existe déjà quelques premiers exemples de la façon dont la PKI améliore l'authentification et l'identité des appareils pour les communications entre machines et les déploiements de l'Internet des Objets au stade précoce (tels que les compteurs intelligents et les boîtiers décodeurs de télévision), ils ne font qu'effleurer la question. À mesure que les responsables de projets liés à l'Internet des Objets reconnaissent la nécessité de la sécurité matérielle de ces appareils, il est fort probable que leur architecture de sécurité nécessitera une PKI afin de favoriser l'identité des appareils, l'authentification et la sécurité globale.
Toutefois, les responsables de projets doivent noter qu'il s'agit là d'un terrain nouveau pour la PKI et les fournisseurs de la technologie de PKI. Les solutions et les standards doivent encore fusionner et atteindre une masse critique. Par conséquent, les clients doivent interroger leurs fournisseurs potentiels de PKI et de solutions de sécurité de l'Internet des Objets pour connaître leur feuille de route et savoir s'ils ont actuellement des clients de référence.