Infraestructura de Clave Pública en IoT

Abstract

El propósito de este trabajo ha sido abordar la seguridad en las comunicaciones del estándar OPC UA (Open Platform Communications - Unified Architecture) en entornos industriales. OPC UA es un estándar de comunicación de gran relevancia en la industria diseñado para facilitar la interoperabilidad entre sistemas heterogéneos. Su función principal reside en hacer posible el intercambio de datos de forma eficiente y segura entre dispositivos utilizados en el ámbito industrial. Este estándar desempeña un papel fundamental en la automatización de procesos y la evolución en la industria. Así pues, este proyecto está enfocado principalmente en el empleo de Infraestructura de Clave Pública (PKI) para securizar las comunicaciones dentro del contexto del IIoT (Internet Industrial de las Cosas). De este modo, se proporciona un método robusto y seguro para verificar la identidad de los dispositivos y sistemas, así como para cifrar las comunicaciones, lo que impide que estos datos puedan ser interceptados e incluso modificados. La PKI proporciona las tecnologías y procedimientos necesarios para garantizar la seguridad en la gestión de certificados, desplegando mecanismos que engloban desde la generación inicial y distribución hasta la revocación de los mismos. Esta capacidad de las PKI de revocar certificados es uno de los aspectos críticos, ya que permite mitigar potenciales riesgos en los casos en los que se viera comprometida la seguridad o la confianza en la autoridad emisora, invalidando certificados comprometidos o expirados, asegurando así la integridad y la confiabilidad de la infraestructura de seguridad. El estándar OPC UA y, por ende, las aplicaciones que lo implementan, por lo general hacen uso de certificados digitales como mecanismo para proporcionar autenticación, firma y confidencialidad, lo cual garantiza la identidad de los sistemas y dispositivos involucrados en la comunicación, así como la confidencialidad de los datos. Sin embargo, la mayoría de estas aplicaciones recurren a certificados autofirmados que, debido a que no están respaldados por una autoridad de confianza reconocida, pueden suponer un riesgo en entornos poco controlados, dado que son susceptibles de ser interceptados por un atacante, lo cual le permitiría suplantar un servidor legítimo y obtener información sensible o confidencial. Para cumplir con el objetivo de proteger las comunicaciones y mitigar posibles ataques de intermediarios, se ha generado e implantado en el laboratorio Beckhoff, situado en la Escuela Técnica Superior de Ingeniería Informática de la Universidad de La Laguna, una autoridad certificadora dedicada, así como los procedimientos y componentes necesarios para establecer una PKI robusta y plenamente funcional para los PLCs Beckhoff CX5010. Al hacer esto, se ha intentado, en el caso de intercambiar certificados autofirmados por cada aplicación y/o dispositivo, reemplazarlos por otros creados sobre la base de dicha autoridad de confianza, autenticando los extremos de la comunicación y configurando además otros parámetros como método de autenticación, longitud de clave, algoritmo de firma y demás políticas de seguridad.

The purpose of this work has been to address the security of OPC UA (Open Platform Communications - Unified Architecture) communications in industrial environments. OPC UA is a communication standard of great relevance in the industry designed to facilitate interoperability between heterogeneous systems. Its main function is to enable efficient and secure data exchange between devices used in industry. This standard plays a fundamental role in process automation and evolution in industry. This project is primarily focused on the use of Public Key Infrastructure (PKI) to secure communications within the context of the IIoT (Industrial Internet of Things). This provides a robust and secure method for verifying the identity of devices and systems, as well as encrypting communications, which prevents this data from being intercepted and even modified. PKI provides the technologies and procedures necessary to guarantee security in certificate management, deploying mechanisms that cover everything from initial generation and distribution to certificate revocation. This ability of PKIs to revoke certificates is one of the critical aspects, since it allows mitigating potential risks in cases where security or trust in the issuing authority is compromised, invalidating compromised or expired certificates, thus ensuring the integrity and reliability of the security infrastructure. The OPC UA standard and, therefore, the applications that implement it, generally make use of digital certificates as a mechanism to provide authentication, signature and confidentiality, which guarantees the identity of the systems and devices involved in the communication, as well as the confidentiality of the data. However, most of these applications rely on self-signed certificates which, because they are not backed by a recognized trusted authority, can pose a risk in poorly controlled environments, since they are susceptible to interception by an attacker, which would allow him to impersonate a legitimate server and obtain sensitive or confidential information. To meet the objective of protecting communications and mitigating possible attacks by intermediaries, a dedicated certificate authority has been generated and implemented at the Beckhoff laboratory located at the School of Computer Engineering of the University of La Laguna, as well as the procedures and components necessary to establish a robust and fully functional PKI for the Beckhoff CX5010 PLCs. In doing so, we have tried, in the case of exchanging self-signed certificates for each application and/or device, to replace them with others created on the basis of such trusted authority, authenticating the communication ends, and also configuring other parameters such as authentication method, key length, signature algorithm and other security policie