<div dir="ltr"><div><div><div><br></div><div><div><br></div></div></div></div><br><div class="gmail_quote"><div dir="ltr">On Mon, Nov 16, 2015 at 10:05 AM Perry E. Metzger <<a href="mailto:perry@piermont.com" target="_blank">perry@piermont.com</a>> wrote:<br></div><div>[...] </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">SCADA systems and other embedded hardware may need to be kept secure<br>
from tampering for 30 years or longer. This stuff shows up in<br>
surprising places -- people really are doing things like putting<br>
building heating and elevator systems onto the internet now.<br>
<br></blockquote><div class="gmail_quote"><br></div>Keeping a secret for 30 years is a very different proposition from keeping a SCADA system secure for 30 years. Long-term (or even short-term) secrecy is not a major concern for most embedded applications of this type. <div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Say you have thousands of such systems or even millions of them out in<br>
the field, all happily dialing home and getting new instructions, all<br>
that protected by an RSA key or an elliptic curve signature key. How<br>
do you keep that safe for a stupid amount of time?<br>
<br></blockquote><div class="gmail_quote"><br></div>I would suggest making the remote management component (or at least the network interface) one that can be upgraded independently from the rest of the system. <span style="line-height:1.5">This may be too costly for consumer devices, but may be cheaper in the long run for commercial equipment. As you mentioned we don't know how to design systems that stay secure for 30 years anyway. Perhaps we should give these controllers an expiration date, after which they're required to go offline until they get maintenance.</span></div><div class="gmail_quote"><br></div><div class="gmail_quote"><div>Gé</div></div></div><div dir="ltr">-- <br></div>—<br>Gé