Connettere il dispositivo al cloud
L'archiviazione di informazioni sicure, ad esempio una password o un certificato in un dispositivo, potrebbe rendere un dispositivo vulnerabile all'esposizione. Una password con perdita di dati è un modo sicuro per compromettere la sicurezza di un dispositivo o di un intero sistema. Nella famiglia Windows la tecnologia che supporta la sicurezza del sistema operativo è il modulo della piattaforma attendibile.
Un dispositivo TPM ( Trusted Platform Module ) è un microcontroller che può archiviare i dati ed eseguire calcoli. Può essere un chip discreto venduto alla scheda madre di un computer o un modulo integrato nel sistema in un chip (SoC) dal produttore.
All'interno del TPM
Una funzionalità chiave del TPM è la memoria di sola scrittura. In base ai dati in esso contenuti, TPM può anche calcolare un hash crittografico (ad esempio HMAC), in base a tali dati. Non è possibile scoprire il segreto fornito dall'hash, ma se il segreto è noto a entrambe le parti della comunicazione, è possibile determinare se l'hash ricevuto da un'altra parte è stato prodotto da tale segreto.
L'idea di base dietro l'uso di chiavi crittografiche: il segreto (chiamato anche la chiave di accesso condiviso) viene stabilito e condiviso tra il dispositivo IoT e il cloud durante il processo di provisioning del dispositivo. A partire da questo punto, un HMAC derivato dal segreto verrà usato per autenticare il dispositivo IoT.
Provisioning dei dispositivi
Lo strumento di provisioning per i dispositivi Windows 10 IoT Core è denominato dashboard IoT Core e può essere scaricato e configurato facilmente.
Il dashboard produce un'immagine del sistema operativo e connette in modo sicuro il dispositivo ad Azure. Questa operazione viene eseguita associando il dispositivo fisico all'ID dispositivo nella hub IoT di Azure e stampando la chiave di accesso condiviso specifica del dispositivo al TPM del dispositivo.
Per i dispositivi che non dispongono di un chip TPM, lo strumento può installare un TPM emulato software. Questo non fornisce sicurezza, ma consente di sviluppare l'app usando un dispositivo maker (ad esempio Raspberry Pi 2 o 3) e avere la sicurezza "luce" su un dispositivo con il TPM hardware senza dover modificare l'app.
Per connettere il dispositivo ad Azure, fare clic sulla scheda "Connetti ad Azure":
Verrà chiesto di accedere all'account Azure. Selezionare l'istanza desiderata di hub IoT di Azure e associarlo al dispositivo fisico. Se non si dispone di istanze hub IoT nella sottoscrizione di Azure, lo strumento consente di creare un'istanza gratuita.
Dopo aver selezionato l'hub IoT e l'ID dispositivo con cui associare il dispositivo, è possibile stampare la chiave di accesso condiviso del dispositivo nel TPM:
Il dispositivo è ora pronto per connettersi ad Azure in modo sicuro.
È anche possibile usare il portale di dispositivi Windows per acquisire dinamicamente una stringa di connessione hub IoT quando si connette prima a Internet dopo il provisioning. Questa operazione può essere eseguita dalla scheda "Client di Azure" nel portale di dispositivi.
