Manca poco alla fine dell’anno e le statistiche nel settore dell’IoT già stimano che il 2021 ha visto un aumento del 9% dei dispositivi connessi tra di loro, per un totale di 12,3 miliardi di endpoint, ovvero i terminali attivi che mandano, ricevono e processano informazioni in sistemi distribuiti connessi.
Entro il 2030, si stimano invece ben 25 miliardi di dispositivi interconnessi tra di loro. La tendenza ad aumentare il numero di dispositivi che appartengono a sistemi IoT va ovviamente di pari passo con la quantità di dati scambiati tra di loro, dato che questi endpoint sono connessi proprio per “parlarsi”. Stima che entro il 2025 la quantità di dati generata dall’IoT sarà di almeno 73 ZB (zettabytes, dove ogni zettabyte corrisponde a un triliardo di gigabytes).
La quantità di dati scambiata attraverso i canali di comunicazione che connettono i dispositivi IoT, oltre che a strabiliare, fa sorgere la questione sulla protezione dei dati stessi.
Alcuni dei dati trasmessi potrebbero essere dati personali con cui identificare persone fisiche, o potrebbero essere semplicemente dati sensibili.
Si immagini, ad esempio, l’IoT applicato a dispositivi medici o che trasmettono dati relativi alla salute di una persona (come pompe a insulina per uso domestico, tanto per fare un esempio). Come fare a sfruttare appieno le potenzialità della tecnologia dell’IoT senza però scendere a compromessi con la protezione dei nostri dati?
Indice degli argomenti
Cosa si intende oggi per sicurezza nell’IoT
Tutti ormai sappiamo che quando si parla di dispositivi connessi tra di loro si sotto intende che il grande collante tra di essi sia il Cloud.
La maggior parte delle applicazioni che connettono due o più dispositivi infatti non girano sui dispositivi stessi, che infatti sono per lo più hanno poca potenza computazionale in questo senso. Tali applicazioni girano infatti in Cloud e sono solo i risultati finali di questi processi ad essere poi inoltrati ai nostri smartphone piuttosto che ai nostri orologi smart.
Dato questo scenario, la cosa che sembrerebbe più logica da fare per mettere in sicurezza i dati trasmessi è quella di utilizzare protocolli sicuri nei canali di trasmissione. Banalmente assicurarsi che per le comunicazioni via Internet si usi il protocollo HTTPS invece che il protocollo HTTP.
Purtroppo, però, quando si arriva a parlare di connessioni sicure tra dispositivi, siamo già allo stadio finale di tutto il processo tecnologico e industriale in cui si arriva all’IoT. Infatti, se stiamo parlando di connessioni sicure, vuol dire che il dispositivo da connettere è già un prodotto finito.
Non possiamo però pensare di ottenere sistemi IoT sicuri senza preoccuparci che il processo con cui vengono costruiti i dispositivi da connettere sia anch’esso sicuro.
Costruire nuove reti quantistiche per la sicurezza dei dati: strumenti e tecnologie
Sicurezza, chip e root-of-trust
Quello che permette ai dispositivi di comunicare tra di loro e, per ridotte routine, di eseguire dei processi, sono i chip. Mettere in sicurezza i sistemi IoT a partire dal silicio utilizzato per i chip permette infatti di aggiungere il così detto root-of-trust.
Trasmettere in maniera protetta, come si diceva sopra, è una tecnica di così detta “software security”, soggetta ad errori e a cambiamenti e modifiche nei protocolli stessi.
Avere invece un root-of-trust incorporato nel silicone del chip stesso conferisce un livello di sicurezza immutabile. L’obiettivo è quello di derivare dal silicio delle identità digitali impossibili da mutare e, dunque, impossibili da falsificare, in modo che la sicurezza dell’IoT sia primordiale alla connessione tra dispositivi ma sia inglobata addirittura nel processo di costruzione del dispositivo stesso.
Al momento, il metodo più usato per creare tali impronte digitali è quello di iniettare una chiave segreta crittografica in ogni dispositivo. Questo metodo però comporta alcuni problemi: le unità di programmazione del processo devono essere sicure e di fiducia (trusted, in inglese). Le chiavi generate devono essere anche temporaneamente salvate su media che potrebbero non essere messe in sicurezza. Inoltre le chiavi potrebbero essere soggette a fuoriuscita (leakage, in inglese) di informazioni a causa di errori umani o di operatori malintenzionati.
Come aggirare questo problema? La risposta si trova in natura.
Sono le funzioni fisicamente non-clonabili (physical unclonable functions, PUFs) che provvedono a calcolare delle impronte digitali per chip fatti da semiconduttori, come i microprocessori.
Le impronte digitali che le PUF riescono a dare in output sono il risultato di variazioni fisiche che avvengono naturalmente nel processo manifatturiero dei semiconduttori.
Nello specifico, le PUF dipendono dall’unicità della cosi dette microstrutture dei materiali, ovvero da dei fattori fisici puramente random che si innescano nei processi di costruzione dei chip. Tali fattori fisici, essendo random, sono impredicibili e incontrollabili, il che rende le impronte digitali da loro derivate praticamente impossibili da duplicare o clonare.
Una volta che queste PUF vengono implementate in genere in circuiti integrati, ecco che allora si possono dotare i dispositivi IoT che contengono un chip di un’identità unica e immutabile che impedisce qualsiasi “impersonificazione” nei network IoT.
Il fenomeno del quantum tunneling
Ma quali sono i fenomeni fisici aleatori su cui ci si può basare per costruire delle identità digitali non-clonabili? La meccanica quantistica ci viene in aiuto in questo aspetto grazie al fenomeno del così detto quantum tunneling.
Il quantum tunnelling descrive il fenomeno per cui, con una certa probabilità molto piccola, alcune particelle riescono a passare dall’altra parte rispetto a una barriera. Nel caso delle PUF, l’onda di quantum tunneling, che è la sorgente di randomicità, è una funzione esponenziale dello spessore di una barriera fatta di SiO_2 (oxide) e uno strato di silicio. Questo significa che anche una variazione di un solo strato di atomi è sufficiente a cambiare drammaticamente la corrente di quantum tunneling e dunque la conseguente impronta digitale da essa generata.
Crypto Quantique è un’azienda pioniere che si sta facendo largo nel mercato con delle tecnologie apposite per misurare eventuali variazioni nell’impronta digitale generata da correnti di quantum tunneling e, dunque, nell’identificazione di duplicazioni e azioni improprie. La loro tecnologia è già in questo momento in fase di integrazione da giganti nel settore dei microchip quale Renesas. “Presto avremo sistemi IoT veramente sicuri, dove la sicurezza non comporta nessun cambiamento di fruizione da parte dell’utente, come da parte delle aziende manufatturiere di dispositivi di qualsiasi natura. Quello che il quantum tunneling offre è sicurezza senza compromessi”, dice Shahram Mossayebi, PhD, CEO e co-fondatore di Crypto Quantique.
Crittografia post-quantistica e meccanica quantistica: alleate per la sicurezza dei dati
Conclusione
La sicurezza è da sempre un deterrente o, se non altro, un rallentatore per quanto riguarda l’adozione di una nuova tecnologia.
Nel caso dell’IoT, sembrerebbe invece che le PUF implementate a partire dal fenomeno quantistico del quantum tunneling possano garantire la massima sicurezza del sistemi IoT senza influire in alcun modo sulla manifattura dei dispositivi interconnessi né sui protocolli di comunicazione.
Il fatto che il root-of-trust sia inserito nel chip al momento della sua creazione permetterà forse a un’adozione dell’IoT più accelerata rispetto ai pronostici.
