क्या सेंसर डेटा को एन्क्रिप्ट करने में कोई फायदा है जो निजी नहीं है?

कुछ साइटों, जैसे कि IoT के लिए एंड-टू-एंड एन्क्रिप्शन पर यह लेख , सुझाव देता है कि IoT नेटवर्क पर भेजे गए सभी ट्रैफ़िक को एन्क्रिप्ट किया जाना चाहिए:

उद्यमों, सरकारी एजेंसियों और अन्य संगठनों को IoT- सक्षम उल्लंघनों से बचाने के लिए [सिक] को "एन्क्रिप्ट-एवरीथिंग" रणनीति अपनानी चाहिए।

मैं किसी भी डेटा को एन्क्रिप्ट करने की आवश्यकता को समझ सकता हूं जो गोपनीय हो सकता है, जैसे कि 'स्मार्ट लॉक' डिवाइस को लॉक / अनलॉक करने के लिए कमांड, लेकिन क्या वास्तव में सब कुछ एन्क्रिप्ट करना आवश्यक है , जैसे कि सेंसर जो वर्तमान थर्मोस्टैट रीडिंग की रिपोर्ट करता है?

क्या यह बस ऐसा है कि "सब कुछ एन्क्रिप्ट करें" लोगों को डेटा को एन्क्रिप्ट करने से भूल जाता है जो वास्तव में एन्क्रिप्ट किया जाना चाहिए, या क्रिप्टोग्राफी का उपयोग करने से वास्तविक लाभ है, अतिरिक्त शक्ति, समय और लागत के बावजूद?

बिल्कुल, क्योंकि:

1. एक सुरक्षित डिवाइस और चैनल का मतलब है कि आप डेटा पर भरोसा कर सकते हैं । हां, वास्तविक तापमान बहुत निजी नहीं है, लेकिन एक हमलावर गलत तापमान प्रदान कर सकता है और एक अवांछनीय प्रतिक्रिया का कारण बन सकता है (जैसे कि अनावश्यक रूप से हीटिंग चालू करना)। इस तरह से स्टुक्नेट ने काम किया, सेंट्रीफ्यूज की गति को गलत तरीके से चित्रित करके, नियंत्रण प्रणाली को तब तक तेज किया, जब तक कि वे टूट न जाएं। ध्यान दें कि एक सुरक्षित चैनल न केवल एन्क्रिप्ट किया गया है, बल्कि प्रामाणिक और अखंडता-संरक्षित है । अखंडता यहां क्या मायने रखती है।
   अकेले एन्क्रिप्शन आपको डेटा पर भरोसा नहीं करने देता है: एक हमलावर एन्क्रिप्टेड डेटा को संशोधित कर सकता है, भले ही उन्हें पता न हो कि वे वास्तव में क्या संशोधित कर रहे हैं। यहां तक ​​कि अकेले प्रमाणीकरण आपको डेटा पर पूरी तरह से भरोसा नहीं करने देता है, क्योंकि प्रामाणिक डेटा को फिर से दोहराया जा सकता है। आपको एक प्रोटोकॉल की आवश्यकता होती है जो डेटा अखंडता की गारंटी देता है।
2. एक दोषपूर्ण डिवाइस और एक समझौता डिवाइस के बीच अंतर बताना मुश्किल है। दोषों का पता लगाना और मरम्मत करना मुश्किल और महंगा है, इसलिए उपकरणों की मरम्मत नहीं करना (या पूरे सिस्टम को डिबग करना) कुछ सुरक्षा में डालने के लायक है।
3. व्यापक पारिस्थितिकी तंत्र के भीतर आप एन्क्रिप्शन वाले कुछ डिवाइस नहीं चाहते हैं और कुछ नहीं, क्योंकि इससे उपकरणों की लागत, रखरखाव और प्रबंधन बढ़ जाता है। यदि आप निश्चित रूप से यह नहीं कह सकते हैं, कि सिस्टम पर कुछ वर्षों में कोई भी निजी डेटा प्रेषित नहीं किया जाएगा (केवल डिवाइस नहीं), तो यह अब इंजीनियर के लिए सुरक्षित हो सकता है।
4. निजी डेटा की आपकी परिभाषा गलत हो सकती है, और जब तक आप ऑडिटर्स और विनियामक विशेषज्ञों के साथ उन क्षेत्रों में जाँच नहीं कर रहे हैं जिनमें आप काम करते हैं, तो यह मान लें कि डेटा निजी है। जीपीएस समन्वय, और यहां तक ​​कि आईपी पते को कुछ नियामक ढांचे द्वारा व्यक्तिगत रूप से पहचाने जाने योग्य माना जा सकता है।

एक मौजूदा थर्मोस्टेट रीडिंग के लिए सेंसर की रिपोर्ट मुझे बहुत निजी लगती है। एक चोर डेटा का उपयोग यह पता लगाने के लिए कर सकता है कि कोई व्यक्ति घर पर है। घर को लूटने के बाद, मालिक यह तय कर सकता है कि थर्मोस्टेट के निर्माता पर उनकी गोपनीयता का उल्लंघन करने और इस तरह चोरी को रोकने के लिए मुकदमा करना एक अच्छा विचार है।

क्या इस तरह का कानूनी जोखिम थर्मोस्टेट का निर्माता अपने उत्पादों के लिए चाहता है? क्या आप एक अदालत के सामने यह तर्क देना चाहते हैं कि आपकी कंपनी के लिए यह पूरी तरह से ठीक है कि वह उन सूचनाओं को दे जो उन्हें आपके ग्राहकों के घरों में तोड़ने के लिए जानने की जरूरत है?

हां, सभी संचारों को एन्क्रिप्ट करने का लाभ है। आप अपने घर पर ताला लगाने का कोई फायदा नहीं पूछेंगे, क्या आप करेंगे?

वहाँ सवाल यह नहीं है कि क्या, लेकिन कितना, वहाँ लाभ हो सकता है।

सबसे महान सुरक्षा विशेषज्ञों में से एक ब्रूस श्नेयर , जिनके पास एक महान ब्लॉग है , btw है, आपको बताएगा कि आप चीजों को पूरी तरह से सुरक्षित नहीं बना सकते हैं। आप जो कर सकते हैं, वह उन्हें ऐसा करने के लिए लाभ से अधिक उन्हें क्रैक करने की लागत को सुरक्षित बनाने के लिए पर्याप्त है।

क्रूड फाइनेंशियल के लिहाज से, अगर इसमें कहीं टूटने और $ 5 मिलने में 100 डॉलर का खर्च आता है, तो संभावित घुसपैठिया डिटर्जेंट हो जाता है, भले ही इसे तोड़ना संभव हो।

कच्चे सामाजिक संदर्भ में, यदि मेरे पास एक दृश्यमान अलार्म, सुरक्षा कैमरे, गति सक्रियण फ्लडलाइट्स और हाउंड्स का एक पैकेट है, तो एक निर्धारित चोर अभी भी मेरे घर में टूट सकता है । लेकिन अगर आपके घर का अगला दरवाज़ा एक जैसा दिखता है और इस तरह के डिटेंटर नहीं हैं ...

आप Bruce Schneier iot, सहित, के लिए Goggling द्वारा, IoT पर उनके कई संगीत पढ़ सकते हैं

• इंटरनेट ऑफ थिंग्स की सुरक्षा अर्थशास्त्र
• इंटरनेट ऑफ थिंग्स का विनियमन
• रियल-वर्ल्ड सिक्योरिटी एंड द इंटरनेट ऑफ थिंग्स
• हमें इंटरनेट ऑफ थिंग्स से इंटरनेट को बचाने की आवश्यकता है
• प्रमुख IoT आपदा किसी भी समय हो सकती है

रैंडम ब्रूस श्नाइर तथ्य # 81

ब्रूस श्नेयर ने चक नोरिस को सिखाया कि शून्य से कैसे विभाजित किया जाए क्योंकि वे एक लिफ्ट में चुप खड़े थे।

यह हमेशा डिजाइनर / डेवलपर का एक विकल्प है। लेकिन इन दिनों में एन्क्रिप्शन और अन्य सुरक्षा उपायों का उपयोग एक आवश्यकता बन गया है।

एक उदाहरण के अनुसार, सेंसर जो वर्तमान थर्मोस्टैट रीडिंग की रिपोर्ट करता है , आपको एक घुसपैठिए द्वारा नियंत्रण में लिया जा सकता है ताकि आप गलत संकेत भेज सकें। (उनके पास ऐसा करने के लिए आपको लूटने की कुछ रणनीति हो सकती है , कौन जानता है?)

आपने सुना होगा कि आप उन सिस्टम को नहीं बना सकते हैं जो अनब्रेकेबल हैं । आप केवल ऐसे सिस्टम बनाते हैं, जिन्हें तोड़ना कठिन होता है!

इससे कोई फर्क नहीं पड़ता कि आपने क्या कदम उठाए हैं, फिर भी वे उन्हें तोड़ सकते हैं। इसलिए इसे सुरक्षित बनाने के लिए कुछ अतिरिक्त कदम उठाने की जहमत क्यों उठाई जाती है?

अन्य उत्तरों के अलावा, यदि डेटा को प्लेनटेक्स्ट में भेजा जाता है, तो इसे संशोधित किया जा सकता है।

उल्लिखित समस्याओं के अलावा, फ़ेकिंग डेटा का कारण हो सकता है (तेज़ गर्मी के बीच थर्मामीटर के कारण गर्मी को अधिकतम करना, आग लगने का खतरा हो सकता है, उदाहरण के लिए) डेटा में हेरफेर से IoT डिवाइस का समझौता हो सकता है, और सब कुछ जो इसे एक्सेस करता है (के लिए) उदाहरण के लिए, आप नोटबुक को तापमान की जाँच कर सकते हैं, लेकिन आपके आंतरिक नेटवर्क को संक्रमित करने के लिए डिज़ाइन किए गए कंप्यूटर वायरस से पारगमन को बदलने वाले HTML पेज को बदला जा सकता है, या JSON डेटा को विकृत रीडिंग डेटा आदि में पढ़ने के लिए संशोधित किया जा सकता है)।

ऐसा नहीं है कि सुरक्षा को लागू करना इसके जोखिमों के बिना है, विशेष रूप से IoT दुनिया में। सुरक्षा कठिन है, और इसका कार्यान्वयन आमतौर पर कोडबेस को बढ़ाता है, और इसके साथ कीड़े की संख्या (और इस तरह संभव हमले वैक्टर / शोषण के अवसर)। IoT को शायद ही कभी फर्मवेयर अपग्रेड मिलता है, इसलिए जब बिना ऑटो-अपडेट के IoT डिवाइस में समस्या आती है, तो अतिरिक्त ज़ोंबी मशीनों के साथ बोटनेट उपलब्ध कराने की गारंटी है ।

और हां, ऑटो-अपग्रेड स्वयं मुद्दों के बिना नहीं है - गोपनीयता के मुद्दों से लेकर संभावना तक कि यदि सही तरीके से लागू नहीं किया गया है तो एवोल्यूशन इसे नियंत्रित करेगा; लेकिन यह कम जोखिम होना चाहिए कि आपका पहला फर्मवेयर किसी भी सुरक्षा बग के बिना हमलावरों को अपनी ज़ोंबी रैंक बढ़ाने की अनुमति देगा।