Home > IoT > IoT e PKI – dificuldades à vista

IoT e PKI – dificuldades à vista

Sheila Zabeu -

Novembro 18, 2021

A Internet das Coisas (IoT) segue impulsionado o uso da Public Key Infrastructure (PKI) e de certificado digitais, sendo citada como principal motor de crescimento desse segmento por 47% dos entrevistados no estudo do Ponemon Institute intitulado 2021 Global PKI and IoT Trends, com mais de 2.500 profissionais de cibersegurança 17 países. Na edição de 2017 desse estudo, esse percentual era de 40%. Apenas como comparação, nesse mesmo ano, foram os serviços baseados na nuvem que se destacaram como principal motor de crescimento da PKI – apontados por 54% dos entrevistados; hoje essa parcela caiu para 44%.

Podemos dizer que há um crescente reconhecimento de que a PKI está se tornando um importante sistema de autenticação para tecnologias IoT. Esse fato é mais do que esperado, afinal hoje existem no planeta mais coisas (equipamentos e sensores, por exemplo) conectadas do que pessoas. E esses chamados dispositivos IoT precisam de identidades digitais para garantir operações seguras.

Por esse motivo, cresce a demanda por infraestruturas de chave pública para Internet das Coisas – ou IoT PKI – para fornecer certificados digitais e assim:

Permitir a autenticação mútua entre dispositivos e aplicações conectados pela Internet;
Manter a integridade e a confidencialidade dos dados coletados pelos dispositivos IoT;
Garantir a legitimidade e a integridade do software transferido para os dispositivos IoT;
Preservar a privacidade de dados confidenciais conforme o que é exigido pelas regulamentações de cibersegurança.

No entanto, de forma preocupante, os entrevistados da pesquisa do Ponemon Institute disseram que a IoT também é a área que deverá passar por mais mudanças e incertezas. O estudo destaca alguns importantes desafios no universo de PKI e certificados digitais. O grande obstáculo é a falta de clareza em relação a quem é responsável por PKI dentro das organizações – foi apontada como o principal desafio pelo quinto ano consecutivo, com um aumento significativamente na parcela de entrevistados que a citaram – de 63% em 2020 para 71% em 2021. Escassez de recursos (51%) e de competências (46%) – que nunca foi tão grande – completaram o grupo dos três principais desafios mencionados. Mais da metade dos entrevistados (55%) também afirmou que a PKI existente em suas organizações é incapaz de trabalhar com novas aplicações.

Cenário geral da PKI

Ano a ano, há um crescimento lento e constante no número de certificados emitidos e gerenciados em diversos setores, não apenas no universo da IoT, porém houve um aumento significativo nesse volume nos últimos anos — cerca de 50% desde 2019 — de 39.197 para 58.639 — principalmente por conta da maior demanda de identidades para máquinas e proteção do trabalho híbrido.

Em termos da técnica de revogação de certificados digitais, a usada com mais frequência continua sendo a Online Certificate Status Protocol (OCSP) – mencionada por 57% dos entrevistados. A segunda mais popular é a Certificate Revocation List (CRL) – usada por 42% dos entrevistados.

Semelhante ao que vem acontecendo nos últimos anos, 32% dos entrevistados afirmaram que não implantaram nenhuma técnica de revogação de certificados. Possíveis explicações para essa porcentagem relativamente alta são o uso de outros meios para remover usuários ou dispositivos, a utilização de certificados de curta duração e a adoção de sistemas fechados.

Módulos de segurança de hardware (HSMs) continuam sendo usados frequentemente para gerenciar chaves privadas.

Os métodos mais citados para implantação da PKI nas organizações são os baseados em uma autoridade de certificação (CA) interna ou um serviço gerenciado baseada em uma CA privada hospedada externamente, de acordo com 62% e 44% dos entrevistados, respectivamente. O uso de CAs privadas hospedadas externamente apresentou um crescimento em quatro anos — de 38% dos entrevistados em 2017 para 44% em 2021.