การประเมินความปลอดภัยของการใช้ SSL / TLS แบบเดิมบนอุปกรณ์ IoT

ฉันกำลังทำการประเมินความปลอดภัยเกี่ยวกับความปลอดภัยในการสื่อสารของอุปกรณ์ IoT แบบเดิม มีวัตถุประสงค์เพื่อประเมินและค้นหาช่องว่างด้านความปลอดภัยในการออกแบบ / การนำไปใช้งานปัจจุบัน

โหมดการประเมินเป็นแบบแมนนวลโดยส่วนใหญ่อ้างอิงการออกแบบและรหัสที่มีอยู่ นี่เป็นเฉพาะฝั่งไคลเอ็นต์ที่อุปกรณ์เท่านั้น ในขณะที่เซิร์ฟเวอร์เป็นเซิร์ฟเวอร์บนคลาวด์ อุปกรณ์กำลังใช้โมดูล GSM (SIMCom SIM900) และทำการสื่อสาร HTTPS ไปยังเซิร์ฟเวอร์ผ่านอินเทอร์เน็ตโดยใช้คำสั่ง GSM AT

จากความเข้าใจของฉันเกี่ยวกับ SSL / TLS ฉันกำลังพิจารณาพารามิเตอร์หรือเกณฑ์ด้านล่างสำหรับการประเมินนี้:

ก. เวอร์ชันโปรโตคอล TLS

ข. ใช้ชุดการเข้ารหัส

ค. ใบรับรองและการจัดการคีย์

ง. Root CA ที่ติดตั้งบนอุปกรณ์

จ. ด้าน PKI ในตัวสำหรับการจัดการข้อมูลประจำตัวของอุปกรณ์

ฉ. ด้านการเข้ารหัสฮาร์ดแวร์ (SHE / TPM)

ฉันทำถูกวิธีหรือเปล่า แม้ว่าฉันคิดว่ารายการพารามิเตอร์ข้างต้นไม่เฉพาะเจาะจงสำหรับแพลตฟอร์ม Device HW / SW ค่อนข้างทั่วไป แต่ฉันเดาว่ามันควรจะเป็น! ฉันหมายถึงรายการพารามิเตอร์จะค่อนข้างเหมือนกัน อย่างไรก็ตามการประเมินตามความเป็นจริงเกี่ยวกับสิ่งเหล่านี้จะขึ้นอยู่กับข้อกำหนดด้านความปลอดภัยและด้านอื่น ๆ เช่นรอยเท้าอุปกรณ์และแพลตฟอร์มเป็นต้น

รายการพารามิเตอร์การประเมินที่ฉันกำลังพิจารณานั้นดีและเพียงพอหรือไม่