Anwendungsplattformen

Einen sicheren IoT-Cloudserver für 12 Dollar im Jahr betreiben

| Autor / Redakteur: Reinhold Schmid * / Franz Graser

Sichere Kommunikation von Edge-Knoten zur Cloud

Nicht überraschend erfordert das Aufsetzen einer sicheren IoT-Lösung mehr Arbeit als das Aufsetzen einer wenig sicheren Lösung. Eine sichere IoT-Implementierung verlangt zumindest das Aufsetzen eines Trusted Servers.

Das SSL/TLS-Protokoll (Secure Sockets Layer / Transport Layer Security) wird für die verschlüsselte Kommunikation genutzt, aber TLS ist unsicher, wenn die Infrastruktur nicht auf Zertifikaten des Typs TrustedX.509 (SSL) basiert. Dieses Vertrauen ist die Schlüsselkomponente, die nötig ist, damit TLS sicher ist. Deshalb ist es wichtig, ein Zertifikat auf dem Server zu installieren, dem alle Klienten, die mit dem Server verbunden sind, vertrauen.

Ein Browser, der sich mit dem Server verbindet, benötigt ein installiertes Zertifikat, das von einer bekannten Zertifikatsautorität (CA) unterzeichnet ist. In diesem Fall bedeutet „bekannt“, dass das öffentliche Root-Zertifikat der CA auf dem Browser/Computer, den Sie nutzen, vorinstalliert ist. Sie können kostenlose oder bezahlte CA-Dienstleistungen nutzen, um Ihre Serverzertifikate zu unterzeichnen.

Ein Gerät, das sich mit dem Onlineserver verbindet, kann eine Kopie des öffentlichen Root-Zertifikats der CA auf dem Gerät behalten. Dieses Zertifikat kann von Ihrem Browser/Computer auf Ihr Gerät übertragen werden.

Das Gerät wird nicht in der Lage sein, das Server-Zertifikat zu validieren (ihm zu vertrauen), wenn auf dem Gerät keine Kopie des öffentlichen Root-Zertifikats der CA vorhanden ist. Das öffentliche Root-Zertifikat der CA ist typischerweise in der Firmware des Geräts eingeschlossen.

Eine Alternative zur Nutzung einer bekannten CA ist es, Ihre eigene CA zu werden und Ihre eigenen Serverzertifikate für die Gerätekommunikation zu verwenden. Da Sie die volle Kontrolle über das Gerät haben und jeden Zertifikatstyp im Gerät speichern können, einschließlich Ihres eigenen öffentlichen Root-Zertifikats, können Sie leicht Ihr eigenes unterzeichnetes Serverzertifikat für die Gerätekommunikation nutzen. Ihre eigene CA zu sein ist nicht schwierig, wenn Sie einfach zu nutzende Tools haben.

Einer der Vorteile, wenn Sie die eigene CA für den Austausch von Zertifikaten zwischen dem Server und den Geräteklienten sind, ist dass Sie ein ECC-Zertifikat (Elliptic-Curve-Cryptography) für den Server auswählen können. Der Vorteil an der Nutzung eines ECC-Zertifikats ist, dass es viel kleiner ist als ein RSA-Zertifikat und daher viel weniger Speicherplatz auf dem Gerät verbraucht während des anfänglichen SSL Handshakes.

Zertifikate mit Trust-Ketten fordern mehr Speicherplatz

SSL-Zertifikate haben einen großen Einfluss auf den Speicherplatz in begrenzten Edge-Knoten. Daher kann die Nutzung eines nicht verketteten ECC-Zertifikats eine Voraussetzung für ein Gerät mit begrenztem Speicher sein.

Die meisten bekannten CA-Services unterzeichnen nur RSA-Zertifikate; die kostenlosen/günstigen CA-Anbieter unterzeichnen typischerweise mit einem mittelmäßigen CA-Zertifikat, das eine Trust-Kette benötigt und daher sogar noch mehr Speicher auf dem Gerät verbraucht.

Einer der Vorteile des Mako-Servers ist, dass er als Doppelzertifikats-Server dienen kann, wodurch Browser ein größeres (verkettetes) RSA-Zertifikat erhalten und Geräte ein kleineres (nicht verkettetes) ECC-Zertifikat. Das RSA-Zertifikat kann von einer bekannten CA unterzeichnet werden, während das ECC-Zertifikat vorzugsweise von Ihrer eigenen CA unterzeichnet wird.

Wenn Sie mehr erfahren möchten, besuchen Sie die IoT-Seite des Mako-Servers. Die Seite enthält Anweisungen für das Aufsetzen Ihres eigenen sicheren Servers und die sichere Verbindung von ARM-Boards (edge-node Geräte) mit Ihrem Cloudserver.

Ein Werkzeugkasten für das Internet der Dinge

Systemplattformen

Ein Werkzeugkasten für das Internet der Dinge

22.04.15 - Mit macchina.io hat der Softwarespezialist Applied Informatics eine Entwicklungsplattform für das Internet of Things (IoT) auf den Markt gebracht. Die auf Open-Source-Techniken aufgebaute Lösung bildet die Basis für die rasche Applikations-Entwicklung für sogenannte IoT-Gateways. lesen

* Reinhold Schmid ist Geschäftsführer des Distributors Embedded Tools aus Münster.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44355446 / Software-Test & -Betrieb)