Floodgate Certificate Authority : Mettez en œuvre votre propre PKI pour vos produits connectés
Dans le domaine de l’IoT et plus généralement pour tous les systèmes industriels connectés, la capacité d’authentification mutuelle entre les équipements est un élément de sécurité crucial. Une des solutions pour s’assurer de l’identité de son interlocuteur est la gestion de certificats via une Infrastructure à Clés Publiques (ICP) ou Public Key Infrastructure (PKI). Si bon nombre des sociétés proposent des services PKI, une autre approche est de gérer sa propre ICP et dans ce cas la solution Floodgate Certificate Authority de ICON LABS est faite pour vous !
Pourquoi utiliser une infrastructure ICP/PKI ?
Assurer la cybersécurité dans l’IoT, ou plus généralement les systèmes industriels connectés, nécessite une authentification forte. Tous les périphériques/équipements, y compris les points d'extrémité les plus petits type simples capteurs, doivent pouvoir assurer une authentification mutuelle, assurer la communication entre des périphériques connus et fiables et vérifier que tout les accès sont autorisés.
Lorsque le nombre de périphériques augmente (on parle de milliards d’objets connectés dans les années futures), il est devient nécessaire d’assurer la gestion de tous ces appareils sur le réseau et notamment assurer l’enregistrement ou la révocation d’un péripherique sur le réseau, de vérifier son identité (authentification), de vérifier ses droits d’accés et à quel niveau, etc. Il faut donc une solution à la fois complète mais surtout évolutive : c’est ce qu’amène l’approche ICP/PKI. Une gestion PKI permet de faire a priori confiance à un certificat signé par une autorité de certification par l’intermédiaire de clés de chiffrement et des services suivants :
- Enregistrement des utilisateurs (ou équipement informatique) ;
- Génération de certificats ;
- Renouvellement de certificats ;
- Révocation de certificats ;
- Publication de certificats ;
- Publication des listes de révocation (comprenant la liste des certificats révoqués) ;
- Identification et authentification des utilisateurs (administrateurs ou utilisateurs qui accèdent à l'ICP) ;
- Archivage, séquestre et recouvrement des certificats (option mais pouvant être exigée par des lois nationales).
Pourquoi utiliser Floodgate CA ?
L'Autorité de certification Floodgate, Floodgate CA, fait partie de la solution PKI de ICON LABS fournissant une gestion complète des certificats pour les entreprises qui choisissent de mettre en œuvre leur propre ICP. Floodgate CA permet aux fabricants ou OEM d’agir en tant qu'autorité de certification privée, permettant une gestion sûre des certificats lors du développement, le déploiement et l’exploitation des équipement industriels dont ils ont la charge.
En utilisant Floodgate CA, il est ainsi possible de déployer un serveur sécurisé d'autorité de certification (ou une hiérarchie de serveurs) dans leur environnement privé. Cela fournit un système PKI fermé sans dépendance vis-à-vis des autorités publiques de certification ou d'autres tiers. Cela permet une extrème flexibilité car la hierarchie CA peut être ainsi facilement personnalisée pour répondre aux besoins spécifique de chaque société.
Floodgate CA automatise le processus du serveur de provisionnement sécurisé et d'inscription. Il permet la signature de certificats, l'inscription et les services de révocation. Les services ou fonctions assurés par Floodgate CA sont :
Floodgate CA dispose d’une interface utilisateur pour la gestion des certificats de bout en bout jusqu’à la révocation
Floodgate CA automatise le processus du serveur de provisionnement sécurisé et d'inscription. Il permet la signature de certificats, l'inscription et les services de révocation. Les services ou fonctions assurés par Floodgate CA sont :
- La distribution automatisée des certificats
- Une utilisation dans la fabrication / production d'appareils
- Une Utilisation dans les réseaux opérationnels pour gérer les certificats pour le cycle de vie d'un périphérique
- La prise en charge des protocoles SCEP, EST et OCSP
- La capacité de fonctionner comme sous-CA à une autorité de certification publique ou comme son propre CA racine
Floodgate CA dispose d’une interface utilisateur pour la gestion des certificats de bout en bout jusqu’à la révocation
Floodgate PKI Client :
Le client Floodgate PKI est le pendant de Floodgate CA. Intégré dans les équipements, il permet de pouvoir de générer les demandes de signature de certificat, de récupérer les certificats signés de l'autorité de certification et générer les clés nécessaires aux chiffrements. Ces principales caractéristiques sont :
- La prise encharge des protocoles SCEP, EST et OCSP.
- Est compatible avec les principaux RTOS du marché ainsi que Linux et Windows.
- D’avoir une faible empreinte mémoire permettant une intégration dans des péripheriques IoT ayant des ressources limitées.
- D’être compatible avec Floodgate CA mais également toute autre autorité de certification publique (telle que Verizon ioT SC par exemple).
- De supporter les TPM et autres solutions matérielles sécurisées pour la gestion des clés privées.
Bénéfices de Floodgate CA & Floodgate PKI Client :
L'authentification est un élément clé dans la sécurité et l'authentification basée sur des certificats type ICP/PKI fournit une méthode d'authentification prouvée et fiable. Floodgate Ca et Floodgate PKI Client permettent ainsi une identification de machine à machine assurant ainsi :
Floodgate CA & Floodgate PKI client permettent ainsi de déployer une solution propriétaire tout en restant ouverte vers les ICP/PKI publics. Floodgate CA préside de façon intuitive toutes les tâches liées aux fonctions ICP/PKI, fournissant aux utilisateurs la possibilité de gérer des arbres de certificats, des listes de révocation de certificats, des clés privées, des demandes de signature et plus encore. Il peut être fournit sur un serveur sécurisé ou livré sous forme de solution logicielle que les clients peuvent exécuter sur leurs propres serveurs.
L'authentification est un élément clé dans la sécurité et l'authentification basée sur des certificats type ICP/PKI fournit une méthode d'authentification prouvée et fiable. Floodgate Ca et Floodgate PKI Client permettent ainsi une identification de machine à machine assurant ainsi :
- L’identification sécurisée de l'appareil à l'aide de certificats PKI uniques.
- L’authentification mutuelle pour les protocoles de sécurité tels que TLS.
- Une forte protection contre les cyber-attaques en stockant éventuellement des certificats et des clés privées dans un TPM ou un autre stockage sécurisé basé sur le matériel.
- Les informations d'identification pour la gestion sécurisée des périphériques distants, la mise à jour du logiciel et l'attestation.
- L’intégration et déploiement faciles de l'identité du périphérique.
- La fourniture et la maintenance de certificats de périphériques.
- Le provisionnement initial de l’équipement : génération & injection des clés/certificats pendant le processus de fabrication.