ওয়ান-ওয়ে এসএসএল কোনও আইওটি ডিভাইস সুরক্ষিত করতে পারে?

আমি আমার স্থানীয় নেটওয়ার্কের সাথে সংযুক্ত একটি আইওটি ডিভাইস বিবেচনা করছি (ডিফল্ট সেটিংস, কোনও ভিপিএন, না না, ডিএমজেড) ইন্টারনেট অ্যাক্সেসের সাথে বা ছাড়াই। আমার ডিভাইসটি HTTP সার্ভার হিসাবে চালিত হবে যা প্রমাণীকরণ এবং অনুমোদনের সাথে একটি RPC প্রক্রিয়া সরবরাহ করে mechanism এটি এমডিএনএস দিয়ে নিজেকে বিজ্ঞাপন দেয় এবং আমি এটি আমার মোবাইল অ্যাপ্লিকেশন বা আমার রাস্পবেরিপি ব্যবহার করে কথা বলি।

দেখে মনে হচ্ছে আইওটি বিকাশের নিয়মটি হল পারস্পরিক (দ্বি-মুখী) এসএসএল। তার মানে কি এই যে ওয়ান-ওয়ে এসএসএল আমার ট্র্যাফিককে সুরক্ষা দিতে পারে না? কেন?

মন্তব্য:

• আমি এক এবং দ্বি-মুখী এসএসএলের মধ্যে প্রযুক্তিগত পার্থক্যগুলি বুঝতে পারি, ও-ওয়ে (প্রায়) আইওটি উত্পাদনে কখনই বিবেচনা করা হয় তা আমি বুঝতে পারি না।
• আমি বুঝতে পারি যে কোনও স্থানীয় ডিভাইসের জন্য পারস্পরিক এসএসএল থাকা কঠিন: আপনার সার্ভারের সার্বজনীন কী ভাগ করতে হবে এবং ক্লায়েন্ট এবং তদ্বিপরীতকে শংসাপত্র দেওয়া উচিত। অন্যদিকে, একমুখী সহজ মনে হচ্ছে (ব্যবহারকারীর ক্রিয়াকলাপের প্রয়োজন নেই)।
• ফিলিপস হিউয়ের মতো কিছু ভর উত্পাদিত ডিভাইসগুলির পরিবর্তে একতরফা এসএসএল এনক্রিপশনের চেয়ে স্থানীয় http শেষ প্রান্তটি খোলা এবং সুরক্ষিত থাকতে হবে। কেন কেউ এই পছন্দ করবেন?
• আমি আশা করি এই প্রশ্নটি মতামত ভিত্তিক না হয়। এই ক্ষেত্রে যদি ক্ষমা চাই।

এসএসএল / টিএলএস ভাল কাজ করে যখন "সার্ভার" পরিচিত স্থানে (একটি নির্দিষ্ট হোস্টনাম) থাকে যা এটি উপস্থাপিত শংসাপত্রের সিএন এর সাথে মেলে।

এটি হোম নেটওয়ার্কের ডিভাইসের জন্য ভাল কাজ করে না (যেমন সর্বাধিক আইওটি ডিভাইসগুলি) কারণ তারা আরএফসি 1918 ব্লক থেকে আইপি ঠিকানা জারি করে এবং ডিএনএস এন্ট্রি না দেয়। এর অর্থ তারা শংসাপত্র দিয়ে জারি করা যাবে না (ভাল তারা করতে পারেন তবে বেশিরভাগ ব্রাউজারগুলি এগুলি প্রত্যাখ্যান করবে)। এই কারণেই ফিলিপস হিউয়ের মতো ডিভাইসগুলি ডিভাইসের সুরক্ষিত এইচটিটিপি শেষ পয়েন্টগুলি ব্যবহার করে, তারা মূলত ডিভাইসটি সুরক্ষিত করার জন্য নেটওয়ার্কটিতে অ্যাক্সেসের উপর নির্ভর করে।

মিউচুয়াল টিএলএস যখন ব্যবহৃত হয় তখন এটি যখন ডিভাইসটি কোনও কেন্দ্রীয় পরিষেবাতে সংযুক্ত হয় তখন ক্লায়েন্টের কাছে তার নিজস্ব সার্টিফিকেট / প্রাইভেট কী থাকে তা প্রমাণ করতে যে এটি কেন্দ্রীয় সার্ভারের সাথে মালিকের পক্ষে কাজ করতে সক্ষম।

আপনার প্রশ্নের স্পষ্টতার পয়েন্ট হিসাবে আপনাকে সমস্ত ক্লায়েন্টকে সার্ভারস সার্টিফিকেট / কী বিতরণ করার দরকার নেই, শংসাপত্রটি যে সিএর শংসাপত্র জারি করেছে তার শংসাপত্রটি বিশ্বস্ত কিনা তা প্রমাণ করার জন্য প্রয়োজনীয়।

সম্পাদনা করুন:

সুরক্ষিত স্থানীয় ডিভাইস সংযোগের একটি ভাল উদাহরণ হ'ল আইকেইএর ট্র্যাডফ্রি আলোকসজ্জা যা ডিটিএলএস-এর উপরে সিওপি ব্যবহার করে ডিভাইসে প্রাক-শেয়ার্ড কী (একটি কিউআর কোডে) ব্যবহার করে যা প্রতি ক্লায়েন্ট কী তৈরি করতে ব্যবহৃত হয়। এটি একটি নতুন ক্লায়েন্ট সেট আপ করতে শারীরিক অ্যাক্সেস নিশ্চিত করে এবং স্থানীয় নেটওয়ার্কে ফ্লাইটে ডেটা রক্ষা করে।

সাধারণত, টিএলএস x.509 এর চেয়ে অনেক বেশি, তবে অনেকগুলি বাস্তবায়ন এটিকে কেবল x.509 এর মধ্যে সীমাবদ্ধ করে।

x.509 একটি নিরাপদ অপ্রত্যক্ষ বিশ্বাসের একটি কৌশল। "এ" "বি" কে বিশ্বাস করে, যদি "বি" এর একটি শংসাপত্র থাকে, যা "সি" দ্বারা স্বাক্ষরিত হয় এবং "সি" "এ" দ্বারা বিশ্বাসযোগ্য হয়। এটি বাস্তব জীবনেও কাজ করে; আপনি বিশ্বাস করেন এমন কোনও ব্যক্তিকে আপনি বিশ্বাস করেন না, যদি কোনও বিশ্বাসী কোনও ব্যক্তির দ্বারা স্বাক্ষরিত কোনও চিঠি উপস্থাপন করা হয়। হতে পারে আপনি সমস্যাটি দেখতে পাচ্ছেন: যদি চিঠিটি বলে, দয়া করে এক কাপ কফি আপনার গাড়িটি দেবেন না। সুতরাং শংসাপত্রের অতিরিক্ত তথ্যও বিশ্বাসের সুযোগের সাথে প্রাসঙ্গিক। সে কারণেই কোনও শংসাপত্রে কোনও সার্ভারের সাধারণত এটির ডিএনএস নাম বা আইপি-ঠিকানা থাকে। সাধারণত আপনি বিভিন্ন তথ্য অন্তর্ভুক্ত করতে পারেন (যেমন "লিভিং রুমের ল্যাম্প"), তবে অনেকগুলি প্রয়োগও কমপক্ষে DNS / IP স্টাফ ব্যবহার / পরীক্ষা করতে পূর্বনির্ধারিত থাকে। এবং যদি কেবলমাত্র কেউ বিশ্বাসযোগ্যদের যত্ন করে তবেই তা কাজ করছে "

আপনি যদি এতে সময় ব্যয় করতে পারেন তবে আপনার বাস্তবায়ন পরীক্ষা করুন, যদি এটি পিএসকে সিফার স্যুটও সরবরাহ করে। যদি তা না হয় তবে আপনি সার্ভার শংসাপত্রের "বৈধতা যাচাই" সামঞ্জস্য করতে পারেন। তবে ভাল সমাধানের জন্য এটি প্রচুর পড়া দরকার। এবং কখনও কখনও ব্যবহৃত টিএলএস বাস্তবায়ন কেবল এটি সরবরাহ করে না।