In der digitalen Gesellschaft ist die Sicherheit einer der grundlegenden Bausteine. Und sie erfordert Transparenz und Zusammenarbeit. Anfang dieses Jahres haben wir die Keyfactor Community ins Leben gerufen, um noch enger mit der Entwicklergemeinschaft zusammenzuarbeiten, indem wir es den Nutzern ermöglichen, unsere software auf einfache Weise herunterzuladen, zu testen, zu nutzen und dazu beizutragen sowie in einer sicheren Umgebung Ideen auszutauschen.
Letzte Woche war es endlich so weit: Wir haben das erste Community Tech Meetup in Stockholm veranstaltet. Es war ein großartiger Tag, vollgepackt mit neuen Erkenntnissen, interessanten Themen und aufschlussreichen Diskussionen. Es war ein tolles Erlebnis, viele von Ihnen nach vielen Monaten der Abgeschiedenheit und der Online-Meetings wieder persönlich zu treffen.
Rund 40 hochqualifizierte Sicherheitsexperten trafen sich zu Workshops und zum Networking im Berns, einem wunderschönen und historischen Gebäude im Herzen Stockholms. Der Tag begann mit einer hervorragenden Keynote von Hasain Alshakarti, Principal Cybersecurity Advisor bei Truesec, der Einblicke in die Erfahrungen seines Teams bei der Reaktion auf Sicherheitsvorfälle und der Durchführung forensischer Untersuchungen nach Cyberangriffen gab.
In den Workshops war die Post-Quantum-Bereitschaft eines der Hauptthemen des Tages. Obwohl nur wenige sie bisher ausprobiert haben, ist die Post-Quantum-Kryptografie jetzt bereit, getestet und ausprobiert zu werden. Weitere Themen waren Helm-Diagramme für die Bereitstellung von PKI, Container-Signierung mit Cosign und Connaisseur und IoT Identitätsmanagement mit einem Keyfactor Kontrolltest vom Azure-Marktplatz.
Hybride Post-Quantum-Kryptographie in der Praxis
Auch wenn die Finalisten der Runde 3 des Post-Quantum-Wettbewerbs des NIST (National Institute of Standards and Technology) bekannt gegeben wurden, wird es noch ein paar Jahre dauern, bis es eine Norm gibt. Und niemand weiß, wie viele Jahre es noch dauern wird, bis Quantencomputer eine echte Bedrohung darstellen, wenn überhaupt. In der Zwischenzeit fragen sich viele IT-Führungskräfte, wie sie ihr Unternehmen darauf vorbereiten sollen und wie lange die Daten mit den klassischen Verschlüsselungsalgorithmen noch sicher sein werden.
Im ersten Workshop des Tages erläuterten David Hook von Keyfactor, VP Software Engineering für Bouncy Castle, und Roy Basmacier, Software Engineer, wie man sich mit Hilfe einer hybriden Kryptographie Lösung, die klassische und Post-Quantum-Algorithmen zur Verschlüsselung kombiniert. Auf diese Weise kann ein klassischer Algorithmus quantum-hardened und gleichzeitig die Sicherheit beibehalten, die er bietet. Es wurden mehrere standardisierte Mechanismen für hybride Verfahren vorgestellt, und es wurde gezeigt, wie sie bereits heute bei folgenden Anwendungen eingesetzt werden können Bouncy Castle.
Alle Post-Quantum-Verschlüsselungsalgorithmen für öffentliche Schlüssel sind für die Verwendung als Key Encapsulation Mechanisms (KEMs) konzipiert. Diese unterscheiden sich von Schlüsseltransportmechanismen wie OAEP dadurch, dass der KEM ein zufälliges Geheimnis für den Schlüsseltransport bereitstellt, anstatt den symmetrischen Schlüssel direkt zu verschlüsseln. Diese Eigenschaft eines Post-Quantum-KEM macht es ideal für den Einsatz in hybriden Algorithmen, die entweder auf Schlüsselvereinbarung oder Schlüsseltransport basieren.
Im Rahmen des Workshops präsentierten David und Roy die Anwendung von KEMs mit klassischen Algorithmen sowohl in der Nicht-FIPS- als auch in der FIPS-Version von Bouncy Castle.
Wiederholbare Bereitstellungen und Container-Signierung ermöglichen DevOps PKI
Netzwerk- und Systemadministratoren stehen heute unter großem Druck, ihre Umgebungen zu sichern, Zero Trust zu implementieren und interne Unternehmensnetzwerke mit mehreren Sicherheitsebenen zu trennen. Um dies zu erreichen, benötigen sie Sicherheitslösungen, die einfach zu implementieren, zu nutzen und zu integrieren sind. Automatisierung hilft dabei, zuvor statische Sicherheitsfunktionen dynamischer zu gestalten und an agile Organisationen in DevOps-Umgebungen anzupassen. Und mit der Automatisierung kann die Zeit für die Bereitstellung um beeindruckende Faktoren reduziert werden, während menschliche Fehler, die bei manuellen Installationen auftreten können, begrenzt werden.
Unser Gastredner Edgar Pombal, DevOps und Systemadministrator bei Siemens, zeigte, wie sein Unternehmen Ansible-Playbooks für die Automatisierung von PKI-Aufgaben wie Bereitstellung, Updates, Härtung, Tests und Überwachung einsetzt. Dank seiner Benutzerfreundlichkeit und vorkonfigurierten Workflows ist Ansible eine gute Wahl für die Verwaltung dieser Aufgaben. Die PKI von Siemens bedient viele Geschäftsbereiche, darunter Bahn, Fertigung und Gebäudemanagement. Da die Anzahl der verwendeten Zertifikate rasch zunimmt, ist die Automatisierung von entscheidender Bedeutung.
Als weitere Möglichkeit, eine wiederholbare und skalierbare Bereitstellung zu ermöglichen, zeigten die Teammitglieder Sven Rajala, US Federal & East Coast Sales Engineer, und Alfredo Neira, Sr Director of Global Professional Services, wie die Bereitstellung von EJBCA und SignServer mithilfe von Helm-Diagrammen erfolgt, die bei der Definition, Installation und Aktualisierung von Kubernetes-Anwendungen helfen.
Die Härtung der software Lieferkette ist heute ein Muss, und Anton Hodell demonstrierte, wie man Cloud-Bereitstellungen mit signierten Containern auf einfache Weise mit Cosign, Connaisseur und SignServer sichern kann.
IoT Identitätsmanagement mit Keyfactor Steuerung als Azure Test Drive
Bevor sich Ihr Unternehmen auf den Weg zu IoT macht, ist es wichtig, dass alle Aspekte der Lösung, von der Datenerfassung bis zum Identitätsmanagement, in Ihrer eigenen Umgebung getestet werden. Mit Keyfactor Control as a Test Drive vom Azure Marketplace können Sie IoT Identitätsmanagement in Verbindung mit Ihrer Anwendung 30 Tage lang kostenlos ausprobieren, was sich beispielsweise für einen Proof of Concept eignet.
In einem weiteren Workshop zeigten KeyfactorHarry Haramis, SVP of Cloud & SaaS Marketplaces, und Alex Gregory, VP of Marketplace Products, wie man den Keyfactor Control Test Drive in Betrieb nimmt und in einen bestehenden Azure IoT Tenant einbindet. Der Test Drive bietet die volle Funktionalität von Keyfactor Control und ist mit EJBCA als Docker-Container für die Ausstellung von Zertifikaten verbunden.
Diese Einrichtung bietet eine zentrale Verwaltung von Geräteidentitäten sowie eine sichere Bereitstellung und Automatisierung für Ihren Azure IoT Hub. Ein weiterer Vorteil ist die Krypto-Flexibilität - mit einer Plattform für die Verwaltung aller Identitäten können künftige Änderungen der kryptografischen Algorithmen in großem Umfang und ohne Rückrufe durchgeführt werden.
Flexible Einsätze und Post-Quantum-Bereitschaft in EJBCA und SignServer
Der Tag endete mit produktspezifischen Fragen und Antworten rund um EJBCA und SignServer.
Mike Agrenius Kushner, Senior Product Architect, Henrik Sunmark, Product Owner, und ich stellten einige Funktionen vor, die den Nutzern das Leben erleichtern sollen, wie z. B. den Easy Rest Client für EJBCA, Docker Deployment, Automatisierung mit Ansible Playbooks und verschiedene Integrationsmöglichkeiten.
Wie gezeigt, können EJBCA und SignServer auf verschiedene Weise eingesetzt werden, einschließlich hybrider Cloud-Lösungen, z. B. mit Zertifizierungsstellen (CAs) vor Ort und Validierungsstellen (VAs) in der Cloud.
Das Thema Post-Quantum-Readiness wurde in den Produktsitzungen mit einigen Demos fortgesetzt. Auf EJBCA haben wir gezeigt, wie die NIST PQC-Kandidaten mit Zertifikaten auf einfache Weise die Bouncy Castle Kotlin-API nutzen können. Und in der SignServer Sitzung mit Magnus Normark, Produktmanager, und Markus Kilås, Senior Product Architect, wurde die Quantensicherheit behandelt, als sie demonstrierten, wie man Code mit SignServer unter Verwendung des SPHINCS+ Algorithmus signiert.
Der Abend wurde mit einem Abendessen und Networking in der netten Atmosphäre von Berns fortgesetzt.
Folgen Sie Keyfactor Gemeinschaft
Bis zu unserem nächsten Treffen hoffe ich, dass Sie uns für die neuesten und besten Updates folgen und unseren GitHub-Foren beitreten, um Fragen zu stellen oder Ihre Ideen zu teilen:
