Einführung von Keyfactor Signum : Eine neue Plattform für Signaturen als Service

Wir freuen uns, heute die allgemeine Verfügbarkeit von Keyfactor Signumankündigen, einer Plattform für sicheres Signieren als Service, die das Signieren von Code, Containern, software und Firmware für Anwendungs- und Betriebsteams mühelos macht und für die Sicherheit einfach zu verwalten ist.

Das Signieren von Code ist ein wichtiger Schritt im Erstellungsprozess, um die Integrität von software und kritischen Infrastrukturen zu schützen, aber es geht um mehr als nur Zertifikate und Signaturen. Es geht darum, sicherzustellen, dass nur die richtigen Personen und Tools Zugang zum Signieren von Code haben. Andernfalls wird der Verbreitung von Malware, Sicherheitslücken und software Angriffen auf die Lieferkette Tür und Tor geöffnet.

Signum wurde entwickelt, um sensible Code Signing-Schlüssel zu schützen und zu kontrollieren, wer und was Zugriff auf sie hat. Gleichzeitig werden Signing-Prozesse durch die Integration in die plattformspezifischen Tools, die Entwickler bereits verwenden, optimiert. Es ermöglicht Sicherheitsteams, das Unternehmen vor Schlüsselmissbrauch oder -diebstahl zu schützen und ist für IT-Administratoren und Entwickler, die Code effizient signieren müssen, unsichtbar.

In einer Welt, in der nichts mehr von Natur aus vertrauenswürdig ist - von der software , die wir an unsere Kunden ausliefern, bis hin zum Code und den Containern, die in unseren eigenen Umgebungen laufen - hat die Notwendigkeit, alles digital zu signieren und die Authentizität zu überprüfen, einen kritischen Punkt erreicht.

In den letzten Jahren hat die Verwendung von Code Signing zur Verhinderung der Verbreitung von Malware und zum Schutz vor der zunehmenden Bedrohung durch Angriffe auf die Lieferkette software rapide zugenommen.

Unternehmen sind zunehmend auf Code Signing angewiesen, um ihren Kunden zu versichern, dass ihre software vertrauenswürdig und sicher ist, um die Integrität des IT-Betriebs zu schützen, indem sie die Signierung und Verifizierung von Skripten, Makros und Anwendungen erzwingen, bevor diese auf internen Systemen ausgeführt werden können, und um die Authentizität von Artefakten, Binärdateien und Container-Images zu gewährleisten und deren Manipulation zu verhindern.

Wir setzen großes Vertrauen in Code-Signatur-Zertifikate. Schließlich repräsentieren sie die Identität von software und des dahinter stehenden Unternehmens. Das Problem ist, dass Code Signing-Zertifikate, wenn sie nicht richtig geschützt sind, anfällig für Diebstahl oder Missbrauch sind.

Angreifer machen sich dies zunutze, indem sie private Schlüssel von vertrauenswürdigen Unternehmen stehlen und sie zum Signieren und Verbreiten von Malware verwenden, die vertrauenswürdig erscheint. Tatsächlich fand ein aktueller Bericht von VirusTotal mehr als 1 Million signierte Malware-Samples online - 87 % verwendeten gültige Zertifikate, um Code zu signieren.

Wenn Code-Signierungsprozesse nicht sicher sind, kann Folgendes passieren:

• Sensible Signierschlüssel werden oft ungeschützt auf USB-Laufwerken, Build-Servern, Repo-Readme-Dateien oder Entwickler-Workstations hinterlassen.
• Für Sicherheitsteams ist es schwierig zu wissen, wer was, wann und wo unterzeichnet hat.
• Angreifer versuchen, anfällige Signierschlüssel zu kompromittieren und sie zu stehlen, um Malware zu signieren oder sie auf dem Schwarzmarkt an andere Cyberkriminelle zu verkaufen.
• Sie könnten auch den Signierungsprozess umgehen und Malware einreichen, die als Entwickler signiert werden soll, ohne entdeckt zu werden.
• Oder schlimmer noch, Entwickler betten versehentlich Signierschlüssel in ihre software oder Firmware ein, wo sie der Öffentlichkeit zugänglich sind.

Oft müssen die Entwickler die Schlüssel von einem Projektverantwortlichen oder dem Sicherheitsteam anfordern, was zu Engpässen führt und in den heutigen Entwicklungsumgebungen, in denen Anwendungsteams von überall aus arbeiten, einfach nicht skalierbar ist. Entweder das oder sie nehmen unsichere Abkürzungen und bewahren die Schlüssel lokal auf ihren Rechnern auf. Ein kürzlich veröffentlichter Bericht von Keyfactor ergab, dass 37 % der Befragten ihre Schlüssel immer noch auf Build-Servern speichern, und weitere 17 % geben an, dass sie auf den Workstations der Entwickler gespeichert sind.

Mit Signum können Entwickler Code einfach mit nativen Tools signieren, während die integrierte Policy Engine sicherstellt, dass nur autorisierte Benutzer und Maschinen auf bestimmte Schlüssel zugreifen können, um ihren Code zu signieren.

Selbst während des Signierens bleiben die privaten Schlüssel in einem integrierten FIPS 140-2-zertifizierten Cloud-HSM verschlossen. Leichtgewichtige Agenten werden auf Workstations oder in einem unbeaufsichtigten Modus auf Build-Servern installiert, um das lokale Signieren in automatisierten oder manuellen Arbeitsabläufen zu ermöglichen.

• Eingebautes HSM zur sicheren Erzeugung und Speicherung von Code Signing Keys.
• Authentifizierung über SAML, OAuth und andere Methoden, um sicherzustellen, dass Benutzer und Maschinen vor der Unterzeichnung oder dem Zugriff auf die Plattform Signum authentifiziert werden.
• Granulare Richtlinienkontrollen ermöglichen es Sicherheitsteams, Regeln für den Zertifikatszugriff und die Verwendung auf der Grundlage von Anwendungsfällen und Sicherheitsanforderungen zu definieren.
• PKCS11- und KSP-Schnittstellen lassen sich direkt in Signierwerkzeuge wie SignTool, Jarsigner, Cosign, OpenSSL, Microsoft HLK und andere integrieren, um eine lokale Signierung zu ermöglichen.
• Ereignisprotokolle liefern unwiderlegbare Aufzeichnungen des Schlüsselzugriffs und der Schlüsselverwendung für eine einfache Nachprüfbarkeit.
• Zentrales Dashboard zur Verwaltung aller Code Signing-Zertifikate, Richtlinien, Genehmigungsworkflows, Berichte und Prüfungen.
• Die SaaS-Plattform ermöglicht eine schnelle und einfache Bereitstellung, mit integriertem HSM und garantierten SLAs für Sicherheit und Betriebszeit.

Wenn Sie mit Keyfactor vertraut sind, wissen Sie vielleicht, dass wir durch unsere Fusion mit Primekey im Jahr 2021 bereits eine Code- und Dokumentensignaturlösung - SignServer Enterprise - anbieten. Was Sie vielleicht nicht wissen, ist, dass wir Redtrust, ein in Spanien ansässiges Unternehmen, im Jahr 2019 übernommen haben. Die einzigartige Technologie von Redtrust hat es uns ermöglicht, Keyfactor Signum zu entwickeln.

Warum haben wir also Keyfactor Signum gebaut?

Die einfache Antwort: Wir können jetzt Signing-Lösungen anbieten, die auf die verschiedenen Anwendungsfälle und Anforderungen unserer Kunden zugeschnitten sind.

Einerseits ist SignServer eine leistungsstarke serverseitige Signiermaschine, die für hohe Leistung und Interoperabilität mit einer breiten Palette von Signierformaten und Schlüsseltypen entwickelt wurde. Sie ist hochgradig konfigurierbar und verwendet clientseitiges Hashing, um Code, ausführbare Dateien und Dokumente in großen Umgebungen zu signieren.

Auf der anderen Seite ist Signum eine richtliniengesteuerte Signierlösung, die sich auf die Durchsetzung spezifischer Richtlinien darüber konzentriert, wer welchen Code wann, wo und mit welchen Schlüsseln signieren darf. Anstelle einer API-basierten Signierung nutzt Signum leichtgewichtige Agenten, die in plattformspezifische Signierwerkzeuge integriert werden. Die Signierung wird lokal auf dem Build-Server oder der Workstation durchgeführt, während die Schlüssel im zentralisierten HSM sicher bleiben.

Unterschiedliche Anwendungsfälle, Sicherheitsanforderungen, Unternehmensrichtlinien und Arbeitsabläufe erfordern einen anderen Ansatz für das Signieren von Code. SignServer und Signum bieten die Flexibilität, die einzigartigen Anforderungen unserer Kunden zu erfüllen, unabhängig von ihrem Anwendungsfall.

Wenn Sie mehr über unsere Unterschriftslösungen erfahren und die richtige Lösung für Ihren Anwendungsfall finden möchten, können Sie unsere Lösungsseite hier aufrufen. Wenn Sie bereit sind, tiefer einzutauchen und Signum oder SignServer in Aktion zu sehen, fordern Sie noch heute eine Demo bei unserem Team an.