跳至主要内容

GDPR 1一年后:隐私,安全和对物联网的影响

Vincent van der Leest,产品营销总监|

即使您从未听说过通用数据保护法规,您也可能会看到它的实际应用。 去年可见证据显示,随着5月底的临近,您开始注意到您的收件箱中充满了电子邮件,通知您新的隐私政策几乎在您访问过的每个网站都有效。 为了安全起见,您访问过的很多网站都会显示弹出窗口 - 并且仍在执行 - 要求您确认其隐私政策。 几周前,GDPR庆祝了它的第一个生日,所以现在回顾它对安全的影响似乎是个好时机。

GDPR的作用以及公司关注的原因

GDPR是一个法律框架,承认并编纂欧洲人保护其个人数据的基本权利。 这些新政策和程序旨在为企业使用我们的个人数据提供透明度和信任。 严格地说,它仅适用于处理数据的人 - 法规中的“主体” - 或者收集或处理该数据的实体在欧盟。

但现实情况是,经营商业网站的非欧盟公司有兴趣维持与欧洲客户的关系,而非欧盟国家未来可能会采用类似GDPR的规定。 因此,作为一个实际问题,世界各地的公司都努力遵守。

由于GDPR提高了数据泄露的风险,因此不遵守法规的风险显着。 罚款非常重要:无论是年收入的4百分比还是20百万欧元,以较高者为准。 由于缺乏GDPR合规而施加的最大且可能最明显的惩罚是 谷歌从法国当局收到的50万欧元罚款。 另一个众所周知的例子是托管网站,应用程序甚至实体店客户数据的用户凭据的服务器。 根据GDPR报告的大多数违规行为都是 与这些类型的数据库有关但是,迄今为止已知的一些最大的泄漏仍然需要惩罚 当局监督GDPR的行动.

此外,Facebook等公司也是 在GDPR当局的不断审查下,但到目前为止,他们尚未收到与GDPR相关的罚款。 不良安全实施的财务责任应该鼓励企业投资于设计安全和隐私设计方法。

帮助拥有大型用户数据库的公司遵守GDPR,Authentico Technologies 最近推出了其产品CIPHRA,使用Intrinsic ID的产品来保护客户数据。 CIPHRA保证组织的密码数据库是安全的,即使数据库在数据泄露中被黑客入侵或被盗,无论密码强度和攻击者可以访问的计算资源如何。 换句话说,数据库对于任何脱机密码恢复攻击都是无用的。

GDPR对嵌入式物联网安全的影响

除了有关公司应如何处理其拥有的隐私敏感数据的规则和规定外,GDPR的某些方面也对嵌入式物联网安全产生影响。 该立法规定,所有相关产品 - 例如物联网上的产品 - 旨在“在给定的置信水平下抵制意外事件或非法或恶意行为,这些行为会影响存储或存储的可用性,真实性,完整性和机密性。 “广泛的范围包括”防止未经授权访问电子通信网络和恶意代码分发。“当一家奥地利闭路电视摄像机公司最近被GDPR罚款时,该指令对物联网设备的重要性非常明显对于 处理错误的视频数据。 因此,GDPR不仅要求制定处理个人数据的新政策,还要提高整体网络安全的标准。

这就解决了如何在嵌入式物联网设备中实际建立信任的不那么小的技术问题。 通过加密密钥,可以通过强大的设备标识建立对外部世界的信任基础,允许设备向其他设备进行身份验证,例如在 物联网设备连接到亚马逊云.

最受尊敬的可信赖计算机集团(TCG)提出的用于增强物联网安全性的倡议是设备识别组合引擎(DICE)。 DICE定义了使用设备唯一密钥来提供安全证明机制的方法。 它可以对芯片的标识及其当前软件状态进行外部验证。 知道您正在与正确的设备通信并且它正在运行预期的软件是信任设备的基本基线。

GDPR合规性最佳朋友:不可克隆的设备身份

建立此设备标识并由此在IoT设备中建立信任的最安全方式之一是使用每个芯片的物理特性的固有差异。 由于这些变化是不可控制的,因此无法复制或克隆物理属性。 事实证明,每个SRAM单元在每次上电时都有自己的首选状态,可用于创建SRAM PUF或物理不可克隆功能。 随着 SRAM PUF,密钥永远不会存储,只有在需要时才会重新生成。 当SRAM未通电时,芯片上没有键,使得该解决方案非常安全,不需要进行逆向工程和密钥提取。 这样,可以为任何IoT设备创建不可克隆的标识。

设备的密钥和标识用于处理敏感数据(如加密和签名)所需的加密机制。 通过加密,可以保护数据免受恶意实体的窃听。 数据签名用于证明数据源并防止攻击者改变数据,从而保护数据完整性。 这些密钥还用于验证设备上运行的所有软件的完整性,以确保设备上只运行经过批准的代码。 对于攻击者来说,密钥以及设备的身份必须是不可见的和不可变的,以确保加密机制不会被破坏或反向设计,这将危及敏感数据。 密码过程和软件验证一起就是所谓的 信任的根源,它通过设备标识和密钥锚定到IoT,以便为IoT设备创建最高级别的信任。

在GDPR和设计隐私的时代,这种数据安全水平的重要性至关重要。 在GDPR发布一年后,随后对全球公司产生了影响,所有组织都必须确保他们主动保护隐私。 在处理IoT设备上的隐私敏感数据时,设备Root of Trust非常重要。 随着GDPR和可能遵循的类似规则,信任必须从设备级别开始并从那里开始构建。


Vincent van der LeestVincent van der Leest是Intrinsic ID的产品营销总监。 在Intrinsic ID的9年代,Vincent在组织中的角色包括业务开发和管理公司的欧洲资助项目组合。 Vincent是许多关于Intrinsic ID核心技术的科学论文的作者或共同作者,以及该公司的几项专利。 他拥有埃因霍温理工大学电子工程硕士学位,并在加入Intrinsic ID之前曾在ASML和飞利浦工作。

发表评论

您的电子邮件地址将不会被发表。 必填字段标 *

回到顶部