มีข้อดีในการเข้ารหัสข้อมูลเซ็นเซอร์ที่ไม่เป็นส่วนตัวหรือไม่?

บางเว็บไซต์เช่นบทความนี้เกี่ยวกับการเข้ารหัสแบบ end-to-end สำหรับ IoTแนะนำว่าทราฟฟิกทั้งหมดที่ส่งผ่านเครือข่าย IoT ควรได้รับการเข้ารหัสโดยกล่าวว่า:

รัฐวิสาหกิจหน่วยงานราชการและองค์กรอื่น ๆ ควรใช้ยุทธศาสตร์“ เข้ารหัสทุกอย่าง” เพื่อป้องกันการละเมิด IoT

ฉันสามารถเข้าใจความต้องการในการเข้ารหัสข้อมูลใด ๆ ที่อาจเป็นความลับเช่นคำสั่งในการล็อค / ปลดล็อคอุปกรณ์ 'ล็อคสมาร์ท' แต่มันจำเป็นจริงๆหรือไม่ที่จะเข้ารหัสทุกอย่างเช่นเซ็นเซอร์ที่รายงานการอ่านเทอร์โม

มันเป็นเพียงแค่กรณีที่ "เข้ารหัสทุกอย่าง" ห้ามไม่ให้ผู้คนลืมที่จะเข้ารหัสข้อมูลที่ควรเข้ารหัสจริงๆหรือมีประโยชน์อย่างแท้จริงจากการใช้การเข้ารหัสแม้จะมีพลังพิเศษเวลาและค่าใช้จ่ายหรือไม่

แน่นอนเพราะ:

1. อุปกรณ์และช่องทางที่ปลอดภัยหมายความว่าคุณสามารถเชื่อถือข้อมูลได้ ใช่อุณหภูมิจริงไม่ใช่ความเป็นส่วนตัวมากนัก แต่ผู้โจมตีสามารถจัดเตรียมอุณหภูมิที่ผิดพลาดและทำให้เกิดการตอบสนองที่ไม่พึงประสงค์ (เช่นการเปิดเครื่องทำความร้อนโดยไม่จำเป็น) นี่คือวิธีที่ stuxnet ทำงานโดยการคำนวณความเร็วของ centrifuges อย่างไม่ถูกต้องทำให้ระบบควบคุมทำให้พวกเขาทำงานได้เร็วขึ้นจนกว่าพวกเขาจะพัง โปรดทราบว่าช่องทางที่ปลอดภัยไม่ได้เข้ารหัสเพียง แต่รับรองความถูกต้องและความสมบูรณ์ของการป้องกัน ความซื่อสัตย์คือสิ่งสำคัญที่นี่
   การเข้ารหัสเพียงอย่างเดียวไม่อนุญาตให้คุณเชื่อถือข้อมูล: ผู้โจมตีสามารถปรับเปลี่ยนข้อมูลที่เข้ารหัสแม้ว่าพวกเขาจะไม่ทราบว่าสิ่งที่พวกเขากำลังแก้ไข แม้แต่การรับรองความถูกต้องเพียงอย่างเดียวก็ไม่อนุญาตให้คุณเชื่อถือข้อมูลได้อย่างเต็มที่เนื่องจากข้อมูลที่แท้จริงสามารถเล่นซ้ำได้ คุณต้องมีโปรโตคอลที่รับประกันความถูกต้องของข้อมูล
2. เป็นการยากที่จะบอกความแตกต่างระหว่างอุปกรณ์ผิดพลาดและอุปกรณ์ที่ถูกบุกรุก การตรวจจับและซ่อมแซมความผิดพลาดนั้นทำได้ยากและมีค่าใช้จ่ายสูงดังนั้นการไม่ต้องซ่อมแซมอุปกรณ์ (หรือแก้ไขข้อบกพร่องของระบบทั้งหมด) นั้นคุ้มค่ากับการรักษาความปลอดภัย
3. ภายในระบบนิเวศที่กว้างขึ้นคุณไม่ต้องการอุปกรณ์ที่มีการเข้ารหัสและบางอย่างไม่เช่นนี้จะเพิ่มค่าใช้จ่ายการบำรุงรักษาและการจัดการอุปกรณ์ หากคุณไม่สามารถพูดได้อย่างแน่นอนว่าจะไม่มีการส่งข้อมูลส่วนตัวในเวลาไม่กี่ปีในระบบ (ไม่ใช่แค่อุปกรณ์) มันอาจจะปลอดภัยกว่าที่จะทำตอนนี้
4. คำจำกัดความของข้อมูลส่วนตัวของคุณอาจไม่ถูกต้องและหากคุณไม่ตรวจสอบกับผู้ตรวจสอบบัญชีและผู้เชี่ยวชาญด้านกฎระเบียบในภูมิภาคที่คุณดำเนินงานให้ถือว่าข้อมูลนั้นเป็นข้อมูลส่วนตัว พิกัด GPS และแม้กระทั่งที่อยู่ IP ก็สามารถนำมาใช้ระบุตัวบุคคลได้ด้วยกรอบการกำกับดูแลบางอย่าง

เซ็นเซอร์รายงานการอ่านเทอร์โมสแตทในปัจจุบันรู้สึกเป็นส่วนตัวมาก นักย่องเบาสามารถใช้ข้อมูลเพื่อค้นหาเมื่อบุคคลอยู่ที่บ้าน หลังจากที่บ้านถูกปล้นเจ้าของอาจจะตัดสินใจว่าควรฟ้องผู้ผลิตเครื่องควบคุมอุณหภูมิที่ละเมิดความเป็นส่วนตัวและเปิดใช้งานการลักขโมย

นี่เป็นความเสี่ยงทางกฎหมายหรือไม่ที่ผู้ผลิตเครื่องควบคุมอุณหภูมิต้องการผลิตภัณฑ์ของตนหรือไม่? คุณต้องการที่จะโต้เถียงต่อหน้าศาลว่าเป็นเรื่องดีสำหรับ บริษัท ของคุณที่จะให้นักย่องเบาข้อมูลที่พวกเขาจำเป็นต้องรู้เมื่อจะบุกเข้าไปในบ้านของลูกค้าของคุณหรือไม่?

ใช่มีประโยชน์ในการเข้ารหัสการสื่อสารทั้งหมด คุณจะไม่โพสต์ถามว่ามีข้อได้เปรียบใด ๆ ในการล็อคบ้านของคุณใช่ไหม?

มีคำถามไม่ใช่ว่า แต่จะมีประโยชน์มากเพียงใด

หนึ่งในผู้เชี่ยวชาญด้านความปลอดภัยที่ยิ่งใหญ่ที่สุดBruce Schneierซึ่งมีบล็อกที่ยอดเยี่ยม btw จะบอกคุณว่าคุณไม่สามารถทำให้ทุกอย่างปลอดภัยได้อย่างสมบูรณ์ สิ่งที่คุณสามารถทำได้คือทำให้พวกเขาปลอดภัยเพียงพอที่จะทำให้ค่าใช้จ่ายในการแคร็กพวกเขามากกว่าผลประโยชน์จากการทำเช่นนั้น

ในแง่ทางการเงินที่ดิบหากค่าใช้จ่าย $ 100 ที่จะบุกเข้าไปที่ไหนสักแห่งและได้รับ $ 5 ผู้บุกรุกที่มีศักยภาพจะถูกยับยั้งแม้ว่าจะเป็นไปได้ที่จะบุกเข้ามา

ในแง่สังคมที่เลวร้ายถ้าฉันมีสัญญาณเตือนภัยที่มองเห็นได้กล้องรักษาความปลอดภัยสปอตไลการเปิดใช้งานการเคลื่อนไหวและสุนัขล่าเนื้อชุดหนึ่งนักย่องเบาที่ตั้งใจจะยังคงบุกเข้าไปในบ้านของฉัน แต่ถ้าบ้านของคุณข้างบ้านดูเหมือนกันและไม่มีผงซักฟอกแบบนั้น ...

คุณสามารถอ่าน musings ของเขามากมายบน IoT โดย Goggling เพื่อBruce Schneier iotรวมถึง

• เศรษฐศาสตร์ความมั่นคงของอินเทอร์เน็ตเรื่อง
• ระเบียบของอินเทอร์เน็ตของสิ่งต่าง ๆ
• ความปลอดภัยในโลกแห่งความจริงและอินเทอร์เน็ตของทุกสิ่ง
• เราจำเป็นต้องบันทึกอินเทอร์เน็ตจากอินเทอร์เน็ตของสิ่งต่าง ๆ
• ภัยพิบัติที่สำคัญของ IoT อาจเกิดขึ้นได้ทุกเวลา

ความจริงแบบสุ่มBruce Schneier # 81

Bruce Schneier สอนให้ชัคนอร์ริสรู้วิธีแบ่งเป็นศูนย์ขณะที่พวกเขายืนนิ่งอยู่ในลิฟต์

เป็นตัวเลือกของนักออกแบบ / นักพัฒนาเสมอ แต่การใช้การเข้ารหัสและมาตรการรักษาความปลอดภัยอื่น ๆ กลายเป็นสิ่งจำเป็นในสมัยนี้

ตามตัวอย่างเซ็นเซอร์ที่รายงานการอ่านตัวควบคุมอุณหภูมิสามารถควบคุมโดยผู้บุกรุกเพื่อส่งสัญญาณเท็จ (พวกเขามีกลยุทธ์ที่จะปล้นคุณโดยทำเช่นนั้นใครจะรู้)

คุณอาจเคยได้ยินว่าคุณไม่สามารถสร้างระบบที่ไม่สามารถเข้าถึงได้ คุณสร้างระบบที่ยากต่อการฝ่าฝืน!

ไม่ว่าคุณจะทำตามขั้นตอนใดพวกเขาก็ยังสามารถทำลายพวกเขาได้ เหตุใดจึงต้องใช้ขั้นตอนเพิ่มเติมเพื่อให้ปลอดภัย

นอกเหนือจากคำตอบอื่น ๆ หากข้อมูลถูกส่งแบบธรรมดาก็สามารถแก้ไขได้

นอกเหนือจากปัญหาที่กล่าวถึงการแกล้งข้อมูลอาจทำให้เกิด (การเปลี่ยนความร้อนให้สูงสุดเนื่องจากเทอร์โมมิเตอร์นอนอยู่กลางฤดูร้อนอาจนำไปสู่อันตรายจากไฟไหม้เป็นต้น) การจัดการข้อมูลสามารถนำไปสู่การประนีประนอมของอุปกรณ์ IoT และทุกอย่างที่เข้าถึง ตัวอย่างเช่นโน๊ตบุ๊คของคุณอาจกำลังตรวจสอบอุณหภูมิ แต่หน้า HTML ที่แสดงอุณหภูมิอาจถูกแทนที่ในระหว่างการขนส่งด้วยไวรัสคอมพิวเตอร์ที่ออกแบบมาเพื่อติดเชื้อในเครือข่ายภายในของคุณหรือข้อมูล JSON อาจถูกปรับเปลี่ยนเพื่อเจาะเข้าสู่แอปพลิเคชัน

ไม่ใช่ว่าการรักษาความปลอดภัยจะไม่มีความเสี่ยงโดยเฉพาะในโลก IoT การรักษาความปลอดภัยนั้นยากและการใช้งานมันมักจะเพิ่ม codebase อย่างมากมายและด้วยจำนวนของบั๊ก (และโอกาสในการโจมตี / ใช้ประโยชน์จากโอกาส) IoT ไม่ค่อยได้รับการอัพเกรดเฟิร์มแวร์ดังนั้นเมื่ออุปกรณ์ IoT ที่ไม่มีการอัปเดตอัตโนมัติมีปัญหาก็เกือบจะรับประกันว่าจะให้Botnetsกับเครื่องซอมบี้พิเศษ

และใช่การอัปเกรดอัตโนมัตินั้นไม่ได้มีปัญหา - ตั้งแต่ปัญหาความเป็นส่วนตัวไปจนถึงความเป็นไปได้ที่ผู้กระทำผิดจะเข้าควบคุมหากไม่ได้ดำเนินการอย่างถูกต้อง แต่มันควรจะมีความเสี่ยงต่ำกว่าการหวังว่าเฟิร์มแวร์ตัวแรกของคุณจะไม่มีข้อบกพร่องด้านความปลอดภัยใด ๆ ที่ทำให้ผู้โจมตีสามารถเพิ่มอันดับของซอมบี้ได้