Internet of Things: Verschlüsselung auf Diät

Die Internet Engineering Task Force (IETF) streitet darüber, ob ein abgespecktes TLS (cTLS) oder ein völlig neues Protokoll für Perfect Forward Secrecy für Sensoren und kleine Nodes sorgen soll. Denn auch das Internet der Dinge (Internet of Things, IoT) soll verschlüsselt kommunizieren.

Sichere Schlüssel

Weil IoT-Geräte sparsam sein sollen, spendieren ihnen die Hersteller meist nur sparsame Prozessoren und wenig RAM. Deshalb muss ein Verschlüsselungsprotokoll Ressourcen schonen. Dennoch soll es aber auch flink sein. Denn was passieren kann, wenn Geräte und Sensoren ohne gute Absicherung ins Internet der Dinge gehängt werden, ist mittlerweile hinlänglich durch Angriffe wie die Mirai-Botnet-Attacke bekannt. Eine ganze Menge Bausteine hat die IETF neben anderen Standardisierungsgruppen bereits vorgelegt, unter anderem auch Wege für sichere Software-Updates im IoT-Umfeld.

Mit Object Security for Constrained Devices (OSCORE, RFC 8613), liegt der IETF bereits eine ältere Verschlüsselungsspezifikation für Endpunkte etwa in COAP-Umgebungen vor. COAP, das Constrained Application Protocol, ist ein auf kleine Nodes zugeschnittenes Web-Transfer-Protokoll, um das herum spezielle Format-, Transport- und Verschlüsselungsstandards fürs IoT angelegt sind.

OSCORE sichert so den Payload der Nachrichten, die Maschinen austauschen. Header und Metadaten werden nur selektiv geschützt. Aktuell arbeitet das Protokoll hauptsächlich mit vorab verteilten Schlüsseln, sagte Göran Selander von Ericsson. Aber gerade Listen von vorab erzeugten Schlüsseln sind ein beliebter Angriffspunkt, ergänzte Selander.

Eine neues Protokoll soll daher einen Austausch von Schlüsseln im Stil von TLS ermöglichen, dabei aber leichtfüßiger sein. Ein wichtiges Ziel für Selander ist auch, die kleinen Nodes mit Perfect Forward Secrecy zu wappnen (PFS). PFS soll den Verkehr der oft lange im Feld verbleibenden Geräte auch nach erfolgreichen Attacken oder mitgeschnittenen Sessions schützen.

Genügsamerer TLS-Ableger

Der Ericsson-Entwickler stellte der IETF daher Ephemeral Diffie-Hellman Over COSE (EDHOC) als Schlüsselaustauschprotokoll vor. "EDHOC liefert einen sparsamen Austausch temporärer, sicherer Schlüssel, gegenseitige Authentifizierung, Identitätsschutz und Perfect Forward Secrecy", verspricht Selander. Außerdem baut EDHOC auf der Protokollsuite der IETF für IoT auf. Dabei ist COSE der Signatur- und Encryption-Standard für CBOR.**

Doch so leicht gibt sich die TLS-Gemeinde nicht geschlagen. In die Entwicklung von TLS ist eine Menge Arbeit und Hirnschmalz geflossen, finden die TLS-Experten. In einigen IoT-Umgebungen wird heute schon die auch für UDP einsetzbare DTLS-Variante eingesetzt. Die aktuelle TLS-Version 1.3 liefert zudem alles, was die IoT-Entwickler haben möchten -– mit einer Ausnahme: Der kryptographische Overhead macht TLS 1.3 zu fett fürs IoT.

Angeregt durch die Debatte um EDHOC arbeitet Rescorla daher nun am genügsamen Ableger compact TLS (cTLS). Rescorla hat redundante Header-Inhalte identifiziert, die man aus TLS 1.3 tilgen kann und schlägt vor, so weit möglich, Default-Einstellungen zu verwenden – je mehr Defaults desto schlanker die Aushandlungsphase. Beides zusammen, kleinere Header und mehr Voreinstellungen, sollen die erwünschte Verschlankung bringen. cTLS, so Rescorla, sei letztlich TLS mit einem besseren Encoding. TLS 1.3 sei verschwenderisch konzipiert worden.

Die in der Entstehung befindliche Arbeitsgruppe Lightweight Authenticated Key Exchange (LAKE) ist nun in zwei Lager aufgespalten. Einstweilen verfolgt sie beide Konzepte parallel. Einerseits halten viele das Festhalten am Erprobten für besser. Andererseits könnte auch die Kompaktversion von TLS für
manche IoT-Anwendungen noch zu anspruchsvoll sein.

[Update]: 14.08.19, 11:15, Göran Selander ergänzt: "Ericsson ist in keiner Weise gegen eine parallele Entwicklung von EDHOC und cTLS. Für beide gibt es unterschiedliche Anwendungsbereiche und wie das Meeting zeigte, auch Unterstützung sowohl für leichtgewichtigen Schlüsselaustausch für OSCORE als auch für eine schlanke TLS-Variante". Selander betont zudem, dass Perfect Forward Secrecy für kleine Nodes der Hauptanlass für die Entwicklung der EDHOC-Technik war. EDHOC soll OSCORE ergänzen, das IoT-Übertragungen Ende-zu-Ende absichert. Beispielsweise könnten sie für Geräte auf Basis der Techniken NB-IoT, LoRaWAN oder 6TISCH eingesetzt werden. (dz)