Wstęp
Od pewnego czasu zauważamy dynamiczny rozwój rozwiązań z zakresu Internetu Rzeczy dedykowanych różnym obszarom ludzkiej działalności: począwszy od narzędzi monitorujących nasze funkcje życiowe, optymalizujących działanie różnych urządzeń, aż po systemy wspomagające działalność wielkich fabryk i przedsiębiorstw. Rozwój ten,
z jednej strony napawa nas optymizmem, z drugiej zaś niesie coraz większe zagrożenia dla naszej prywatności i bezpieczeństwa. Wzrost znaczenia
i stosowalności rożnych metod wymiany informacji przyczynia się do rozszerzania zastosowań kryptografii. Dużym wyzwaniem dla współczesnej kryptografii jest potrzeba ograniczania kosztów obliczeniowych przy jednoczesnym zachowaniu odpowiednich gwarancji bezpieczeństwa. Sytuacja ta przyczynia się do szukania algorytmów kryptograficznych zapewniających co najmniej podobne bezpieczeństwo jak RSA i jednocześnie generujących mniejsze koszty obliczeniowe – przykładem takich algorytmów są algorytmy bazujące na krzywych eliptycznych.
1. Geneza Internetu Rzeczy (IoT)
Koncepcję „Internet of Things” stworzył brytyjski przedsiębiorca i twórca startupów – Kevin Ashton. Ideę tę sformułował w 1999 roku w celu opisania systemu, w którym świat materialny komunikuje się
z komputerami (wymienia dane) za pomocą wszechobecnych sensorów [1].
Na przełomie 2008 i 2009 roku, liczba urządzeń podłączonych do sieci przekroczyła liczbę mieszkańców naszego globu. Moment ten, według Cisco, to prawdziwe narodziny „Internetu Rzeczy” rozumianego współcześnie jako (eko)system, w którym przedmioty mogą komunikować się między sobą, za pośrednictwem człowieka lub bez jego udziału. Koncepcja Internetu Rzeczy bazuje na trzech pojęciach: zawsze (anytime), wszędzie (anyplace), z wszystkim (anything) [2].
Rzeczy mogą oddziaływać na siebie w celu wymiany i gromadzenia danych oraz podejmowania działań. Technologia M2M pozwala na komunikację i zbieranie danych (np. pomiary) m.in. pomiędzy komputerami, czujnikami, wbudowanymi procesorami i urządzeniami mobilnymi. Umożliwia to podejmowanie decyzji, najczęściej automatycznie, bez ludzkiej interwencji [3]. Przykładem mogą być urządzenia systemu eCall umożliwiające manualne lub automatyczne wezwanie pomocy w celu likwidowania skutków zdarzenia drogowego.
Po uruchomieniu urządzenia samochodowego, eCall łączy się przy użyciu sieci telefonii komórkowej ze służbami ratunkowymi umożliwiając przekazanie danych elektronicznych i nawiązanie połączenia głosowego. Urządzenie przesyła minimalny zestaw danych dotyczących wypadku
w postaci elektronicznej oraz podejmie próbę ustanowienia połączenia głosowego między pojazdem a centralą [4].
2. Rozwój Internetu Rzeczy
Internet Rzeczy możemy rozumieć jako połączenie świata fizycznego, cyfrowego i biologicznego z daleko idącymi konsekwencjami dla gospodarek, przedsiębiorstw, społeczeństw i kultur. Zmiany te stwarzają nowe możliwości oraz wyzwania. Skala tych zmian często dezaktualizuje tradycyjne ramy i modele zarządzania do tego stopnia, że często
w kontekście tych zmian używamy terminu IV rewolucji przemysłowej [5].
Obecnie Internet Rzeczy znajduje zastosowanie w wielu obszarach ludzkiego funkcjonowania. Aplikacje wykorzystujące tą technologię dostępne są w telefonach komórkowych, które są szeroko stosowane z racji, iż dysponują energią i łącznością [6].
Niestety rozwój dostępności Internetu nie przekłada się na rozwój świadomości zagrożeń w nim występujących. Jak pokazują badania Komisji Europejskiej, Polacy są najmniej ostrożni w Internecie
w porównaniu do innych narodów Unii Europejskiej [7]. Badania te wykazały, iż:
• 57 % nie instaluje oprogramowania antywirusowego,
• 72 % odwiedza strony internetowe mimo braku przekonania o ich bezpieczeństwie,
• 83 % Polaków używa tego samego hasła do różnych kont,
• 86 % nie zmienia regularnie haseł do posiadanych kont,
• 92 % nie zmienia ustawień dotyczących bezpieczeństwa przeglądarek internetowych.
Wzrost dostępności do urządzeń wykorzystujących Internet jako źródło komunikacji może stwarzać nowe zagrożenia dla szeroko rozumianego bezpieczeństwa. Poniższy wykres obrazuje potencjał urządzeń IoT
w kategorii „inteligentny dom”. Rozwiązania te mają uczynić nasze życie łatwiejsze, a nasze domy bardziej przyjaznymi. Co jednak się stanie, jeżeli z racji na słabe zabezpieczenia, kontrolę nad naszym monitoringiem, sterowaniem oświetleniem czy zamkami w drzwiach przejmie potencjalny przestępca?
Dystrybutorzy różnego rodzaju mediów doprowadzanych do naszych domów coraz częściej stosują liczniki umożliwiające odczyt zdalny.
Z jednej strony rozwiązania te pozwalają na optymalizację naszego funkcjonowania, z drugiej zaś stwarzają zagrożenie zdalnego, a nawet automatycznego monitoringu naszej obecności oraz aktywności w domu. Podobne zagrożenia niosą urządzenia wyposażone w interfejs głosowy, które mogą dostarczać informacji o nas dla osób trzecich. Wspomniany wcześniej system eCall, mimo szczytnych założeń, może zostać wykorzystany do monitorowania naszego stylu jazdy. Ta informacja może być istotna między innymi dla firm ubezpieczeniowych, gdyż pokazuje jak ryzykowne zachowania na drogach podejmujemy – co jest niewątpliwą ingerencją w naszą prywatność.
W Polsce już od ponad roku funkcjonują ubezpieczenia wspomagane śledzeniem [8]. Na początku 2017 roku Ergo Hestia oraz operator aplikacji Yanosik udostępnili ofertę YU!. W aplikacji Yanosik uruchomiono funkcję zachęcającą do wyrażenia zgody na monitorowanie jazdy w zamian za nagrody w postaci zniżek cen polis ubezpieczeniowych za przepisową jazdę (Payhowyudrive.pl). Dylemat związany z Yu! to dylemat podobny do kwestii zgody na personalizację reklam, dosyć szybko nasuwa się tutaj pytanie: czy warto jest sprzedać część swojej prywatności za niższe ceny produktów? Musimy pamiętać, że nie jest wykluczone, czy po dane, które zbiera Yanosik nie sięgną, przy innej okazji, także inne służby (np. jeśli zajdzie potrzeba ustalenia, gdzie byłeś danego dnia, o danej godzinie). Oprócz pytania „czy warto?”, należy też zadać inne pytanie: do jakich zmian na rynku to doprowadzi? Niestety możemy dożyć czasów, gdy niemal każdy ubezpieczyciel będzie oferował taki model rozliczeń,
a ubezpieczenie “bez śledzenia” będzie miało cenę celowo zawyżoną. Czytelnicy strony niebezpiecznik.pl na pytanie: „Czy uważasz, że ubezpieczyciele powinni śledzić styl jazdy kierowców?” udzielili następujących odpowiedzi:
• Nie, nie chcę być szpiegowany (82%, 4,637 głosów)
• Tak, dzięki temu będzie mniej wykroczeń na drogach (10%, głosów)
• Tak, bo chcę niższych cen ubezpieczeń (8%, 440 głosów)
Wyniki badania, w którym wzięło udział 5654 osób, pochodzą z dnia 29 marca 2018 roku.
Innych rozwiązaniem z zakresu Internetu Rzeczy dedykowanym dla kierowców o bardzo podobnych konsekwencjach jest wyposażanie nowoczesnych samochodów w szeroką gamę sensorów, z których dane mogą być transmitowane za pomocą sieci Internet – każda nowa technologia podłączona do Internetu może stać się urządzeniem nadzorującym, nawet jeśli jego pierwotny cel był inny. Susan Brenner, profesor prawa z University of Dayton, wprowadziła termin “cartapping” Jej zdaniem, władze bazują na założeniu, że kierowca traci prawo do prywatności w momencie, gdy zgadza się na korzystanie z usług wymagających śledzenia auta. W czasopiśmie Forbes [9]. opisano różne incydenty naruszenia prywatności związane z nowoczesnymi rozwiązaniami opartymi na trackingu i telemetrii bazujących na GSM. Według źródeł, dokumenty sądowe ujawniają bogatą historię zjawiska "cartapping,", w którym niemal w czasie rzeczywistym dane dźwiękowe
i lokalizacyjne mogą być odzyskiwane, gdy policja nakazuje dostawcom technologii samochodowej ich przekazanie.
Kolejnym obszarem zastosowań IoT, o jakim warto wspomnieć jest idea inteligentnych miast – Smart City. Poszczególne miasta konkurują ze sobą o inicjatywy biznesowe oraz przychylność mieszkańców. Miasta stają się konkurencyjne, gdy dostarczają dobrych warunków do życia i pracy, zapewniają potrzebne usługi i poprawne funkcjonuje ekonomicznie. Optymalizacja aspektów każdego z tych obszarów składa się na pozycję konkurencyjną całości.
3. Rozwiązania IoT w przemyśle
Pierwsze trzy rewolucje przemysłowe przyniosły postęp w mechanizacji urządzeń produkcyjnych, elektryczności i podziału pracy oraz
w technologii informatycznej. Termin Przemysł 4.0 oznacza czwartą rewolucję przemysłową, w której przyjmuje się, że jest to wizja inteligentnych fabryk zbudowanych z inteligentnych systemów. Wdrożenie tej idei, pozwoli na opracowanie inteligentnych systemów produkcyjnych, które oprócz wspomnianej autonomii będą posiadać właściwości samokonfiguracji, samokontroli czy naprawiania się [10].
Ideą przemysłowego Internetu Rzeczy (IIoT), podobnie jak IoT, jest gromadzenie dużej ilości danych z procesów produkcyjnych i przesyłanie do centrów przetwarzania danych. IIoT obejmuje urządzenia przemysłowe, takie jak: czujniki, siłowniki robotów, urządzeń produkcyjnych (układów sterowania tokarek, frezarek, wiertarek czy szlifierek), elementów linii produkcyjnej (sterowniki PLC, silniki, pompy).
Inteligentna fabryka (ang. Smart Factory)- to jeden z głównych „składników” koncepcji Przemysłu 4.0. Definiuje się ją jako fabrykę, która celowo wspomaga zasoby ludzkie oraz maszyny w wykonywaniu ich zadań w oparciu o elementy systemu cyberfizycznego i Internetu Rzeczy. Oznacza to, że fabryka „będzie świadoma i wystarczająco inteligentna”, aby dokonać kontroli procesu produkcyjnego, czy też utrzymać maszyny
i urządzenia w odpowiednim stanie technicznym. Korzystanie z zasobów produkcyjnych w inteligentnej fabryce umożliwi produkcję pojedynczych produktów pod indywidualne potrzeby klienta w warunkach produkcji masowej (wysoki poziom elastyczności) oraz adaptację do ciągłych zmian rynkowych. Umożliwi integrację wszystkich obszarów produkcyjnych zlokalizowanych często w różnych halach produkcyjnych przedsiębiorstwa. Przyjmuje się, że pojęcie inteligentna fabryka obejmie również obszary projektowania i planowania produkcją [11,12].
4. Problemy bezpieczeństwa IoT
Urządzenia IoT cieszą się rosnącym zainteresowaniem. Przybywa projektów biznesowych opartych na wykorzystaniu gromadzonych za ich pośrednictwem danych. Wraz z nowymi zasobami danych, za sprawą IoT, pojawiają się jednak nowe zagrożenia dla bezpieczeństwa danych oraz prywatności użytkowników. Problemy z bezpieczeństwem tej klasy urządzeń będą cechować się dużą skalą w związku z dużymi możliwościami praktycznego wykorzystania zbieranych danych.
Nad bezpieczeństwem świata IoT pracuje wiele organizacji. Opracowane przez OWASP (Open Web Application Security Project) dokumenty stanowią opis dobrych praktyk oraz metod unikania najczęściej popełnianych błędów. Projekt OWASP Internet of Things obejmują informacje na temat: podstaw zabezpieczeń IoT, najczęstszych ataków, wskazówek testowania oraz zaleceń projektowych [13,14].
Badania Instytutu SANS zidentyfikowały największe ryzyka związane
z Internetem Rzeczy, do których zaliczono [15]:
• niedostateczne dbanie o aktualizacje,
• wykorzystanie obiektów najsłabiej zabezpieczonych jako punktów wejścia do sieci,
• nieuprawnione modyfikacje parametrów działania urządzeń,
• błędy użytkowników i przypadkowe modyfikacje.
Badania przeprowadzone przez specjalistów firmy HP, także pokazały jak wiele urządzeń IoT jest podatnych na atak. Najczęstsze problemy bezpieczeństwa obejmowały problemy z prywatnością. Systemy bezpieczeństwa w 80% badanych urządzeń nie wymagały haseł o odpowiedniej złożoności. Częstym problemem był brak szyfrowania transmisji danych. Wiele aplikacji mobilnych stosowanych do obsługi urządzeń przesyłała niezaszyfrowane komunikaty w chmurze obliczeniowej, Internecie lub sieci lokalnej [15].
Problemem jest też stosowanie wielu różnych standardów ochrony,
a czasami nawet pomijanie ich. Dzieje się tak, ponieważ powszechnie stosowane RSA wymaga stosunkowo dużych mocy obliczeniowych, co negatywnie wpływa na czas funkcjonowania urządzeń zasilanych bateryjnie lub pobierających energię z systemów RFID (ang. Radio-frequency identification). Producenci mniej renomowanych marek często pomijają zabezpieczenia kryptograficzne, ponieważ statystyczny klient bardziej zwraca uwagę na funkcjonalność niż na bezpieczeństwo produktu. Innym ważnym problemem jest brak wyraźnego lidera wśród wielu istniejących lekkich protokołów kryptograficznych oraz problem dynamicznych architektur sieci IoT i dużych wymogów skalowalności.
5. Krzywe eliptyczne
Rozwiązaniem tego problemu może być użycie krzywych eliptycznych
w celach kryptograficznych, co zostało zasugerowane przez Neala Koblitza w roku 1985 [16].
Bezpieczeństwo kryptografii krzywych eliptycznych (Elliptic Curve Cryptography (ECC)) jest oparte na złożoności obliczeniowej dyskretnych logarytmów na krzywych eliptycznych. ECC oferuje bezpieczeństwo porównywalne do RSA przy znacznie krótszych kluczach. Z tego powodu ECC jest bardzo atrakcyjnym algorytmem w zastosowaniach, które wymagają bardzo wysokiej wydajności szyfrowania asymetrycznego. Bezpieczeństwo ECC jest oparte na złożoności obliczeniowej dyskretnych logarytmów na krzywych eliptycznych ECDLP (Elliptic Curve Discrete Logarithm Problem) [17].
5.1. Geneza nazwy
Nazwa krzywe eliptyczne wiąże się z problemem wyznaczenia długości łuku elipsy. Jest to tak zwana całka eliptyczna drugiego rodzaju. Całki te noszą nazwę całek eliptycznych i nie dają się wyrazić za pomocą funkcji elementarnych. Funkcje odwrotne do całek eliptycznych noszą nazwę funkcji eliptycznych [16].
5.2. Praktyczne zastosowania krzywych eliptycznych
Począwszy od roku 1985 teorię krzywych eliptycznych stosowano do różnych problemów kryptograficznych, takich jak rozkład liczb naturalnych na czynniki pierwsze, testy pierwszości, czy konstrukcje różnych kryptosystemów.
Grupy punktów krzywych eliptycznych nad ciałami skończonymi są podobne do grup multiplikatywnych ciał skończonych. Algorytmy ECC oferują porównywalne bezpieczeństwo co RSA przy mniej złożonych kluczach. Zapewnia to znacznie wydajniejsze szyfrowanie w stosunku do RSA, który jest uważany za wolny i wymagający sporych mocy obliczeniowych.

Wnioski/Podsumowanie
Koncepcja Internet Rzeczy ma olbrzymi potencjał. Coraz większa dostępność cenowa oraz dostęp do Internetu sensorów sprawia, że stają się one powszechnie stosowane. Głównym celem zastosowań jest optymalizacja procesów w ramach różnych obszarów ludzkiej działalności. Pojawiają się jednak liczne problemy związane z prywatnością
i bezpieczeństwem. Istotne jest poszukiwanie nowych efektywnych i tanich obliczeniowo rozwiązań, które mogłyby zostać uznane za światowy standard w tej branży.

Literatura
[1] Ashton K., June 22. That 'Internet of Things' thing. RFID Journal (1999)
[2] Turcu C.E., Turcu C.O., Internet of things as key enabler for sustainable healthcare delivery. Procedia – Social and Behavioral Sciences, 73, (2013), s.251-256.
[3] Watson D.S., Piette M.A., Sezgen M.A., Motegi N., Machine to Machine (M2M) Technology in Demand Responsie Commercial Buildings, https://drrc.lbl.gov/publications/machine-machine-m2m-technology-demand (2004) data dostępu 30.03.2018r.
[4] Oorni R., Goulart A., In-vehicle emergency call services: ecall and beyond, IEEE Communications Magazine, 55(1), (2017), s.159-165.
[5] Kiraga K., Przemysł 4.0: 4. rewolucja przemysłowa według Festo, Autobusy: technika, eksploatacja, systemy transportowe (2016)
[6] Associati C., The evolution of internet of things, Focus. Milão, (2011)
[7] Barbrich P., Minkina P., Polak M. Polska i Europa wyzwania i ograniczenia, Raport wydany przez Związek banków Polskich (2017)
[8] Maj M., Wyraź zgodę na śledzenie, a dostaniesz tańsze ubezpieczenie, https://niebezpiecznik.pl/post/wyraz-zgode-na-sledzenie-a-dostaniesz-tansze-uzbezpieczeniedata publikacji 05.02.2017, data dostępu 30.03.2018
[9] Fox-Brewster T., Cartapping: How Feds Have Spied On Connected Cars For 15 Years,
https://www.forbes.com/sites/thomasbrewster/2017/01/15/police-spying-on-car-conversations-location-siriusxm-gm-chevrolet-toyota-privacy/#6a8039282ef, data publikacji 15.01.2017, data dostępu 30.03.2018
[10] Lee, J., Bagheri, B. and Kao, H.A., A cyber-physical systems architecture for industry 4.0-based manufacturing systems, Manufacturing Letters 3 (2015) s. 18-23.
[11] Lin S.W., Miller B., Durand J., Joshi R., Didier P., Chigani A., Torenbeek R., Duggal D., Martin R., Bleakley G., King A., Industrial internet reference architecture, Industrial Internet Consortium (IIC), Tech. Rep (2015)
[12] Wittbrodt P., Łapuńka I., Przemysł 4.0 – wyzwanie dla współczesnych przedsiębiorstw produkcyjnych. Innowacje w Zarządzaniu i Inżynierii Produkcji 2, s. 793-799.
[13] Barcena M.B., Wueest, C., Insecurity in the Internet of Things. Security Response, Symantec, (2015)
[14] Tankard C., The security issues of the Internet of Things, Computer Fraud & Security, (9) 2015, s. 11 – 14.
[15] Rot A., Blaicke B., Bezpieczeństwo Internetu rzeczy. Wybrane zagrożenia i sposoby zabezpieczeń na przykładzie systemów produkcyjnych, Zeszyty Naukowe Politechniki Częstochowskiej, Zarządzanie, 26 (2017)
[16] Koblitz N, Elliptic curve cryptosystems, Mathematics of computation, 48(177), (1987), s. 203-209.
[17] Maleszewski W., Algebraic Geometry in Cryptography at the turn of the XX–XXI Century, Polish Journal of Applied Sciences, 2(1), (2017) , s. 11 – 15
[18] Bernstein D.J., Lange T., Inverted Edwards coordinates, In AAECC, (2007), Vol. 4851, s. 20 – 27.
[19] Saraf A. A Study of Edwards Curves in Relation to Elliptic Curve Cryptography, Doctoral dissertation, Sri Sathya Sai Institute of Higher Learning, (2015)
[20] Maleszewski, W, Analysis of the certain cryptographic problems in protocols of certyfying the nodes in IoT infrastructure. Polish Journal of Applied Sciences, 3(4), (2017) s. 141-145

Wyświetleń: 0