Conexión del dispositivo a la nube
El almacenamiento de información segura, como una contraseña o un certificado en un dispositivo, podría hacer que un dispositivo sea vulnerable a riesgos. Una contraseña filtrada es una forma infalible de poner en peligro la seguridad de un dispositivo o de todo un sistema. En la familia Windows, la tecnología que admite la seguridad del sistema operativo es el Módulo de plataforma segura.
Un dispositivo de Módulo de plataforma segura (TPM) es un microcontrolador que puede almacenar datos y realizar cálculos. Puede ser un chip discreto instalado en la placa base de un equipo o un módulo integrado en el sistema en un chip (SoC) por el fabricante.
Dentro del TPM:
Una capacidad clave del TPM es su memoria de solo escritura. En función de los datos que incluya, TPM también puede calcular un hash criptográfico (como HMAC), basado en esos datos. Es imposible descubrir el secreto a partir del hash, pero si ambas partes de la comunicación conocen el secreto, es posible determinar si el hash recibido de otra parte se produjo a partir de ese secreto.
Idea básica subyacente al uso de claves criptográficas: el secreto (también denominado clave de acceso compartido) se establece y comparte entre el dispositivo IoT y la nube durante el proceso de aprovisionamiento de dispositivos. A partir de ese momento, se usará un HMAC derivado del secreto para autenticar el dispositivo IoT.
Aprovisionamiento de dispositivos
La herramienta de aprovisionamiento para los dispositivos de Windows 10 IoT Core se denomina Panel de IoT Core y se puede descargar y configurar fácilmente.
El panel genera una imagen del sistema operativo y conecta de forma segura el dispositivo a Azure. Esto se hace asociando el dispositivo físico con el id. de dispositivo en Azure IoT Hub e imprimiendo la clave de acceso compartido específica del dispositivo para el TPM del dispositivo.
En el caso de los dispositivos que no tienen un chip TPM, la herramienta puede instalar un TPM emulado por software. Esto no proporciona seguridad, pero permite desarrollar la aplicación mediante un dispositivo creador (como Raspberry Pi 2 o 3) y tener seguridad "ligera" en un dispositivo con el TPM de hardware sin tener que cambiar la aplicación.
Para conectar el dispositivo a Azure, haga clic en la pestaña "Conectar a Azure":
Se le pedirá que inicie sesión en su cuenta de Azure. Elija la instancia deseada de Azure IoT Hub y asocie el dispositivo físico a ella. Si no tiene ninguna instancia de IoT Hub en su suscripción de Azure, la herramienta le permitirá crear una instancia gratuita.
Una vez que haya seleccionado la instancia de IoT Hub y el id. de dispositivo con el que asociar el dispositivo, puede imprimir la clave de acceso compartido de ese dispositivo en el TPM:
El dispositivo ya está listo para conectarse a Azure de forma segura.
También puede usar el Portal de dispositivos de Windows para adquirir dinámicamente una cadena de conexión de IoT Hub cuando se conecta por primera vez a Internet después del aprovisionamiento. Esto se puede hacer desde la pestaña "Azure Clients" (Clientes de Azure) de Portal de dispositivos.
