Wenn Sie jemals versucht haben, ein halbtägiges technisches Meeting zu organisieren, das alles von quantensicheren Algorithmen bis hin zu automatisierten PKI-Implementierungen abdeckt, wissen Sie, dass dies keine leichte Aufgabe ist. Glücklicherweise haben unser unglaubliches Team, ein bisschen Koffein und schwedische Zimtbrötchen dazu beigetragen, das Keyfactor Tech Meetup 2025 auf die Beine zu stellen: "Hands-on with PQC - Build, Secure, Automate".
Als Head of Community and Developer Relations (und offizieller Agenda Master) hatte ich das Vergnügen, einen halben Tag zu gestalten, an dem Compliance auf Code, Theorie auf Praxis und Kryptographie auf unsere Kunden, Partner und die breitere Entwicklergemeinschaft trafen.
Warum wir hier sind: PQC in der Praxis
Die Post-Quantum-Kryptographie (PQC) ist kein "Zukunftsthema" mehr. Es ist jetzt!
Mit dem Cyber Resilience Act (CRA) der EU und den sich abzeichnenden Richtlinien von NIST und BSI verlagert sich die Branche in Richtung Krypto-Agilität und Quanten-Resilienz. Unser Ziel beim diesjährigen Tech Meetup war es, PQC greifbar zu machen. Es ging nicht nur um Folien oder isolierte Implementierungen von Standards und Spezifikationen, sondern um Live-Demos, die Ingenieure nachempfinden, testen und in ihren eigenen Anwendungsfällen und Umgebungen einsetzen können.
Wir begannen mit tiefgehenden Einblicken unserer Technikexperten:
- Guillaume Crinon, unser IoT , zeigte, wie man Compliance in Code umwandelt, indem er OEMs bei der Vorbereitung auf den Cyber Resilience Act (CRA) mit secure-by-design IoT anleitete.
- David Hook, die Legende hinter Bouncy Castle, demonstrierte, wie sich die PQC-Standards weiterentwickeln und in den kryptografischen Bibliotheken implementiert werden, die Entwickler tagtäglich verwenden.
- Tomas Gustavsson, der Kopf hinter EJBCA, erläuterte, wie PQC in die PKI-Grundlagen integriert wird und den Weg für den nächsten Quantensprung ebnet.
- Sven Rajala, unser Automatisierungsexperte, zeigte, wie man eine PKI mit All-you-can-eat PQC skalieren und sichern kann , und das alles mit Unternehmensgeschwindigkeit.
Von CRA zu Krypto-Agilität
Die erste Sitzung befasste sich mit realen CRA-Verpflichtungen und was OEMs durchsetzen müssen, von der koordinierten Offenlegung von Schwachstellen bis hin zu sicheren Updates und RBAC beim Firmware-Signieren. Guillaume präsentierte die Firmware-Signierung mit PQC auf der i.MX 9-Familie von NXP unter Verwendung von SPSDK und Keyfactor SignServer .
Das Ergebnis? Quantenresistente Signierungsflüsse, die sich natürlich in CI/CD-Pipelines einfügen.
Für Ingenieure bedeutet dies eine Krypto-Evolution ohne Chaos. Hybride Migrationspfade, bei denen sowohl ECC/RSA- als auch PQC-Algorithmen zum Einsatz kommen, haben gezeigt, wie man Systeme zukunftssicher machen und gleichzeitig die Interoperabilität mit der bestehenden Infrastruktur aufrechterhalten kann.
Kryptographie, PKI & Signierung Updates
In dieser Sitzung führten uns David Hook und Tomas Gustavsson tief in die sich entwickelnde Welt der Kryptographie und PKI ein.
David gab Einblicke, wie Post-Quantum-Standards wie ML-DSA und ML-KEM durch NIST und IETF voranschreiten und wie diese neuen Algorithmen bereits in Bouncy Castle implementiert werden, um hybride und zusammengesetzte Zertifikatsformate zu unterstützen.
Im Anschluss daran gab Tomas einen Überblick darüber, wie diese kryptografischen Fortschritte in die PKI integriert werden, einschließlich der Unterstützung für hybride Ketten, CRLs, Zertifizierungsanfragen, PQC-fähige HSMs, Signierung (CMS) und TLS.
Gemeinsam zeigten sie, wie EJBCA, SignServer und Bouncy Castle Entwicklern dabei helfen, die Lücke zwischen der heutigen Infrastruktur und der quantenfähigen Zukunft zu schließen.
PQC greifbar machen: Die Live-Demos
Bei den diesjährigen Live-Demos kam alles zusammen - der Teil, der den Stil unseres Treffens wirklich ausmacht.
Wir haben eine vollständig automatisierte, PQC-fähige PKI entwickelt und implementiert:
- EJBCAcontainerisiert für Agilität
- Helm, für wiederholbare und skalierbare Einsätze
- ConfigDump zur Gewährleistung einer konsistenten Konfiguration in verschiedenen Umgebungen
- Und natürlich die HSM-Integration, die Schlüssel und Betrieb während des gesamten Prozesses sichert.
In Echtzeit konnten die Teilnehmer beobachten, wie wir PQC-, Hybrid- und Verbundzertifikate ausstellten und testeten, hybride TLS 1.3-Handshakes validierten und die Signierung und Verifizierung von CMS-Nachrichten bestätigten - und das alles interoperabel zwischen klassischen und quantensicheren Konfigurationen.
Es ging nicht nur darum, zu zeigen, dass es funktioniert, sondern auch, dass es skalierbar und integrierbar ist und von jedem Ingenieur in jeder Umgebung automatisiert werden kann.
Das größere Bild: Ökosystem und PQC-Führung
PQC findet nicht isoliert statt. Dazu braucht es ein Dorf, oder in unserem Fall ein Ökosystem aus Normungsgremien, Technologieanbietern, Kunden und Partnern.
Durch unsere Zusammenarbeit mit Siliziumanbietern wie NXP, HSM-Anbietern, open-source wie OpenSSL und unsere aktive Beteiligung an der Entwicklung von Standards stellen wir sicher, dass PQC und hybride Kryptografie genau dort verfügbar sind, wo Entwickler leben, arbeiten und Innovationen entwickeln.
Die open-source von KeyfactorEJBCA, SignServerund Bouncy Castle sind nicht nur Teil der Diskussion, sie treiben sie voran. Wir helfen dabei, zu definieren, wie PQC-, Hybrid- und Verbundzertifikate in der nächsten Generation vernetzter Systeme funktionieren werden, von Cloud-nativen Umgebungen bis hin zu Bank- und Finanzanwendungen und IoT.
Aufbauen → Sichern → Automatisieren
Wenn es eine Botschaft gab, die wir allen mit auf den Weg geben wollten, dann war es diese:
Krypto-Agilität muss nicht gleichbedeutend mit Chaos sein.
Mit den richtigen Integrationen, von HSM-gestützten PKIs bis hin zu von Helm bereitgestellten Containern, können Sie Ihre Kryptografiestrategie weiterentwickeln und gleichzeitig Vertrauen und Kontrolle bewahren.
Ich danke Ihnen!
Ich danke allen, die in Stockholm dabei waren, für ihre Neugierde, ihre Fragen und ihre Energie. Ihre Teilnahme hat die Demos zum Leben erweckt und die Gespräche zu einer treibenden Kraft gemacht, die diese Entwicklung vorantreibt.
Wenn Sie nicht dabei sein konnten, bleiben Sie dran! Wir werden in Kürze aufgezeichnete Anleitungen, Demoskripte und ConfigDump-Beispiele auf keyfactor veröffentlichen keyfactor
Und wenn Sie sich jemals gefragt haben, wie es aussieht, eine PKI-Demo durchzuführen und dabei mit mehreren Remote-HSMs, Helm-Charts und hybriden Zertifikaten zu jonglieren, sagen wir einfach: Es ist teils Wissenschaft, teils Magie und 100 % Gemeinschaftsgeist.
Gemeinsam bauen wir die Zukunft des kryptografischen Vertrauens auf. Eine Demo nach der anderen.
