IETF raccomanda il protocollo CPace SmartBlue per gli accessi agli strumenti protetti da password
Il gruppo di lavoro sulla crittografia dell’Internet Engineering Task Force (IETF), l’organismo di standardizzazione di Internet, ha scelto il protocollo CPace sviluppato da Endress+Hauser come metodo raccomandato per gli standard Internet. Il protocollo CPace è risultato vincitore dopo una lunga selezione basata su analisi di sicurezza, in cui si è dimostrato migliore rispetto alle soluzioni proposte dagli sviluppatori di molte aziende famose.
La sicurezza degli accessi agli strumenti da campo è una delle massime priorità degli operatori di tutti i rami dell’industria di processo. Negli impianti moderni sono presenti centinaia o anche migliaia di strumenti di misura e di controllo, a cui si deve accedere con sempre maggiore frequenza da remoto. Questi strumenti da campo devono anche essere installati, monitorati o sottoposti a manutenzione a intervalli regolari. La sicurezza di autenticazione degli utenti, assicurata mediante password, oggi è diventata particolarmente importante soprattutto nel caso di dispositivi con interfacce digitali.
Sicurezza con password di lunghezza “user-friendly”
Gli esperti di sicurezza Endress+Hauser hanno stabilito che per poter utilizzare la tecnologia di comunicazione Bluetooth negli ambienti industriali era necessario un livello di protezione maggiore. È stata quindi sviluppata una soluzione chiamata CPace, che appartiene alla classe dei metodi PAKE (Password-authenticated Key Exchange). Tra le varie applicazioni, la tecnologia PAKE è stata scelta per le carte d’identità elettroniche tedesche poiché è un metodo che permette di svincolare il livello di sicurezza della crittografia dalla lunghezza della password.
Il vantaggio di questo metodo è che assicura ai dispositivi e, di conseguenza, ai sistemi industriali, il massimo livello di protezione dagli attacchi informatici senza richiedere una particolare potenza di elaborazione, come nel caso degli strumenti da campo più piccoli. Per di più CPace piace molto agli utenti, poiché permette di ottenere il livello di sicurezza desiderato senza richiedere l’uso di password molto lunghe.
“Avevamo necessità di trovare una soluzione che ci permettesse di stabilire connessioni sicure con la strumentazione. I metodi utilizzati in precedenza non erano assolutamente percorribili, poiché non assicuravano un livello di sicurezza adeguato a causa della potenza di elaborazione e della capacità di archiviazione limitate degli strumenti da campo. La verifica mediante password comportava invece notevoli ritardi di accesso, di due minuti o più”, spiega il Dr. Björn Haase, responsabile del progetto in Endress+Hauser.
CPace rende la vita difficile agli hacker
La sicurezza della soluzione basata su PAKE con la tecnologia Bluetooth utilizzata da Endress+Hauser era già stata verificata nel 2016 nell’ambito di un’analisi condotta dal Fraunhofer Institute for Applied and Integrated Security (AISEC). L’istituto aveva classificato il livello di protezione del layer di sicurezza di Endress+Hauser (l’uso del relativo componente principale è raccomandato negli ambienti Internet) come “alto”.
