Come verificare l'hardware è legittimo

10

Stiamo lavorando a un sensore che raccoglierà dati, passandolo a uno smartphone che quindi memorizza i dati in un database. Devo essere in grado di verificare che l'hardware sia legittimo, in modo che anche i dati che vengono memorizzati nel database siano legittimi.

Il mio attuale pensiero è di avere una chiave segreta memorizzata sull'hardware, che viene crittografata e inviata quando l'hardware si connette per la prima volta. Se l'autenticazione fallisce, i seguenti dati vengono rifiutati.

Esiste uno standard per l'autenticazione dell'hardware, per impedire che l'hardware dannoso impersonifichi un dispositivo reale?

    
posta Lukeyb 02.06.2017 - 05:47
fonte

1 risposta

7

Sembra un lavoro per la crittografia a chiave pubblica. Firma i messaggi dai dispositivi che valgono una chiave privata incorporata. Quindi verificare nell'app mobile e sul server a cui si riferiscono.

Vorrei proporre:

  1. Incorpora una chiave privata univoca in ogni sensore hardware.
  2. Fornire un certificato da un'autorità di certificazione privata (creata dall'utente) con il dispositivo.
  3. Inserisci la chiave pubblica della CA nell'app del telefono.
  4. Utilizzare la chiave privata nel sensore per firmare ogni evento di dati e includere l'identità del sensore e la data / ora e un identificatore univoco in ogni evento (per impedire attacchi di riproduzione). Includere anche il certificato con l'evento.
  5. Utilizzando la firma e il certificato, l'app del telefono può verificare che l'evento provenga da un sensore legittimo, senza alcun modo di manomettere l'evento.
  6. L'app passa l'intero evento + firma + certificato al tuo server centrale, che può utilizzare l'ID univoco e data / ora per verificare che l'evento non sia stato duplicato.

Devi anche considerare il tuo aggressore: guarderanno solo l'app del telefono o tenteranno di sovvertire il sensore. Possono alterare le letture prima che vengano firmate (ad esempio, asciugacapelli su un termometro :-))

    
risposta data 02.06.2017 - 08:24
fonte

Leggi altre domande sui tag