מכון התקנים האמריקאי פרסם תקן הצפנה חדש למכשירי IoT
תקן SP 800-232 מגדיר הצפנה יעילה למכשירים חכמים דלי משאבים וכבר נמצא בשימוש בארה"ב. האם החברות הישראליות יאמצו אותו?
נוצר באמצעות AI
מכון התקנים האמריקאי (NIST) פרסם בסוף השבוע את SP 800-232, תקן שמתמקד בהצפנה קלת משקל למכשירים דלי משאבים – אותם חיישנים קטנטנים, רכיבי Edge ומדי צריכה חכמים שרצים על סוללה זעירה ועם זיכרון מוגבל.
התקן מבוסס על האלגוריתם Ascon, שנבחר כבר ב־2023 מתוך תהליך רב־שנתי של NIST. בניגוד ל־AES, שהוא חזק אך כבד במונחי עיבוד וצריכת אנרגיה, Ascon נבנה במיוחד לסביבות מוגבלות: הוא קל משקל, חסכוני, ומספק לא רק הצפנה אלא גם אימות שלמות (AEAD – Authenticated Encryption with Associated Data). במילים אחרות, מכשיר יכול להיות קטן ופשוט ועדיין ליהנות מהצפנה מודרנית בלי לפגוע בחיי הסוללה.
אמנם התקן פורסם רק עכשיו, אבל Ascon כבר נמצא בשלבי אימוץ בתעשייה, בעיקר בארה"ב ובשווקים בינלאומיים, וההערכות הן שבתוך שנה-שנתיים נראה מוצרים ראשונים מבוססי Ascon, בעיקר במכשירי IoT תעשייתיים ולוגיסטיים.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
SP 800-232 מתמקד בהגדרת האלגוריתם עצמו ולא מכתיב פרוטוקולים שלמים. עבורמפתחים ו-CTOים זה אומר חופש פעולה, אך גם אחריות: נדרשת הקפדה על שילוב נכון בתוך פרוטוקולי אבטחה קיימים, כדי להימנע מחולשות יישום.
מה המשמעות עבור אנשי ה-IT בארגון? כמעט כל חברה כבר עובדת עם מכשירי IoT:
– חיישנים במערכות בקרת מבנה (BMS): תנועה, טמפרטורה או אוורור.
– מדי מים, חשמל וגז חכמים: לניטור צריכה במבנים ובדאטה סנטרים.
– ציוד לוגיסטי ומעקב אחר נכסים: חיישנים שמוצמדים לציוד יקר במחסנים או במעבדות.
עד היום מכשירים כאלה נאלצו להתפשר או באבטחה או בביצועים, אך כעת התקן של NIST נותן blueprint ברור שמאפשר לשלב הצפנה כבר בשלב התכנון, ולא לחפש פתרונות בדיעבד.
הישראלים יאמצו?
בארה"ב ברגע ש־NIST מפרסם תקן, הממשל והתעשייה מאמצים אותו באופן מסודר ומהיר. בישראל התהליך שונה: אין גוף מקומי המקביל ל־NIST, ולכן האימוץ תלוי בעיקר בכוחות השוק ובמוטיבציה של החברות. חברות שמכוונות לייצוא, במיוחד לשוק האמריקאי, יאמצו את התקן מהר במיוחד לאור העובדה שכבר היום רגולציות כמו IoT Cybersecurity Improvement Act מתחילות לדרוש עמידה בתקנים מסוג זה. בתוך מספר שנים, צפוי שגם גופים ביטחוניים וממשלתיים בארה"ב ידרשו עמידה ב־SP 800-232 כחלק מהחוזים.
בישראל סביר שחברות הפועלות בעיקר בשוק המקומי יתעכבו עם אימוץ התקן. יש לכך כמה סיבות: עלות היישום, הסתגלות למערכות קיימות וחוסר בהירות רגולטורית מקומית. יחד עם זאת, דווקא כאן טמונה הזדמנות: אימוץ מוקדם מאפשר לא רק לעמוד בדרישות רגולציה עתידיות, אלא גם לשפר את רמת האבטחה בפועל, לבדל את המוצרים בשוק המקומי והתחרותי ולהכין את החברות לייצוא בעתיד.
בשורה התחתונה, SP 800-232 ו־Ascon אינם עוד נייר טכני. מדובר בתקן שצפוי להשפיע באופן ממשי על הדרך שבה נבנים מכשירי IoT, גם מבחינת אבטחה וגם מבחינת חיי סוללה. עבור התעשייה הישראלית זו קריאת כיוון: מי שמתחיל ליישם עכשיו יכול למנוע בעיות רגולציה בעתיד ולשמור על רלוונטיות טכנולוגית בשוק הגלובלי.
