Infraestructura de Clave Pública en IoT
Date
2024Abstract
El propósito de este trabajo ha sido abordar la seguridad en las comunicaciones del estándar
OPC UA (Open Platform Communications - Unified Architecture) en entornos industriales.
OPC UA es un estándar de comunicación de gran relevancia en la industria diseñado para
facilitar la interoperabilidad entre sistemas heterogéneos. Su función principal reside en
hacer posible el intercambio de datos de forma eficiente y segura entre dispositivos utilizados
en el ámbito industrial. Este estándar desempeña un papel fundamental en la automatización
de procesos y la evolución en la industria.
Así pues, este proyecto está enfocado principalmente en el empleo de Infraestructura de
Clave Pública (PKI) para securizar las comunicaciones dentro del contexto del IIoT (Internet
Industrial de las Cosas). De este modo, se proporciona un método robusto y seguro para
verificar la identidad de los dispositivos y sistemas, así como para cifrar las comunicaciones,
lo que impide que estos datos puedan ser interceptados e incluso modificados.
La PKI proporciona las tecnologías y procedimientos necesarios para garantizar la
seguridad en la gestión de certificados, desplegando mecanismos que engloban desde la
generación inicial y distribución hasta la revocación de los mismos. Esta capacidad de las
PKI de revocar certificados es uno de los aspectos críticos, ya que permite mitigar
potenciales riesgos en los casos en los que se viera comprometida la seguridad o la confianza
en la autoridad emisora, invalidando certificados comprometidos o expirados, asegurando
así la integridad y la confiabilidad de la infraestructura de seguridad.
El estándar OPC UA y, por ende, las aplicaciones que lo implementan, por lo general hacen
uso de certificados digitales como mecanismo para proporcionar autenticación, firma y
confidencialidad, lo cual garantiza la identidad de los sistemas y dispositivos involucrados en
la comunicación, así como la confidencialidad de los datos. Sin embargo, la mayoría de estas
aplicaciones recurren a certificados autofirmados que, debido a que no están respaldados
por una autoridad de confianza reconocida, pueden suponer un riesgo en entornos poco
controlados, dado que son susceptibles de ser interceptados por un atacante, lo cual le
permitiría suplantar un servidor legítimo y obtener información sensible o confidencial.
Para cumplir con el objetivo de proteger las comunicaciones y mitigar posibles ataques de
intermediarios, se ha generado e implantado en el laboratorio Beckhoff, situado en la
Escuela Técnica Superior de Ingeniería Informática de la Universidad de La Laguna, una
autoridad certificadora dedicada, así como los procedimientos y componentes necesarios
para establecer una PKI robusta y plenamente funcional para los PLCs Beckhoff CX5010. Al
hacer esto, se ha intentado, en el caso de intercambiar certificados autofirmados por cada
aplicación y/o dispositivo, reemplazarlos por otros creados sobre la base de dicha autoridad
de confianza, autenticando los extremos de la comunicación y configurando además otros
parámetros como método de autenticación, longitud de clave, algoritmo de firma y demás
políticas de seguridad. The purpose of this work has been to address the security of OPC UA (Open Platform
Communications - Unified Architecture) communications in industrial environments. OPC
UA is a communication standard of great relevance in the industry designed to facilitate
interoperability between heterogeneous systems. Its main function is to enable efficient and
secure data exchange between devices used in industry. This standard plays a fundamental
role in process automation and evolution in industry.
This project is primarily focused on the use of Public Key Infrastructure (PKI) to secure
communications within the context of the IIoT (Industrial Internet of Things). This provides a
robust and secure method for verifying the identity of devices and systems, as well as
encrypting communications, which prevents this data from being intercepted and even
modified.
PKI provides the technologies and procedures necessary to guarantee security in certificate
management, deploying mechanisms that cover everything from initial generation and
distribution to certificate revocation. This ability of PKIs to revoke certificates is one of the
critical aspects, since it allows mitigating potential risks in cases where security or trust in
the issuing authority is compromised, invalidating compromised or expired certificates, thus
ensuring the integrity and reliability of the security infrastructure.
The OPC UA standard and, therefore, the applications that implement it, generally make use
of digital certificates as a mechanism to provide authentication, signature and confidentiality,
which guarantees the identity of the systems and devices involved in the communication, as
well as the confidentiality of the data. However, most of these applications rely on self-signed
certificates which, because they are not backed by a recognized trusted authority, can pose a
risk in poorly controlled environments, since they are susceptible to interception by an
attacker, which would allow him to impersonate a legitimate server and obtain sensitive or
confidential information.
To meet the objective of protecting communications and mitigating possible attacks by
intermediaries, a dedicated certificate authority has been generated and implemented at the
Beckhoff laboratory located at the School of Computer Engineering of the University of La
Laguna, as well as the procedures and components necessary to establish a robust and fully
functional PKI for the Beckhoff CX5010 PLCs. In doing so, we have tried, in the case of
exchanging self-signed certificates for each application and/or device, to replace them with
others created on the basis of such trusted authority, authenticating the communication ends,
and also configuring other parameters such as authentication method, key length, signature
algorithm and other security policie