Presentamos Keyfactor Signum: Una nueva plataforma de firma como servicio.

Hoy nos complace anunciar la disponibilidad general de Keyfactor Signum, una plataforma segura de firma como servicio que facilita la firma de código, contenedores, Software y firmware a los equipos de aplicaciones y operaciones, y es fácil de gestionar para la seguridad.

La firma de código es un paso crítico en el proceso de compilación para proteger la integridad del Software y la infraestructura crítica, pero es más que solo certificados y firmas. Se trata de garantizar que solo las personas y herramientas adecuadas tengan acceso para firmar código. De lo contrario, abre la puerta a la propagación de malware, las filtraciones y los ataques a la cadena de suministro de Software.

Signum está diseñado para proteger las claves de firma de código sensibles y controlar quién y qué tiene acceso a ellas, al tiempo que agiliza los procesos de firma al integrarse con las herramientas nativas de la plataforma que los desarrolladores ya utilizan. Permite a los equipos de seguridad proteger el negocio contra el uso indebido o el robo de claves y lo hace invisible para los administradores de TI y los desarrolladores que necesitan firmar código de manera eficiente.

En un mundo donde nada es inherentemente confiable —desde el Software que entregamos a los clientes hasta el código y los contenedores que se ejecutan en nuestros propios entornos—, la necesidad de firmar digitalmente y verificar la autenticidad de todo ha alcanzado un punto crítico.

En los últimos años, hemos observado un rápido crecimiento en el uso de la firma de código para prevenir la propagación de malware y proteger contra la creciente amenaza de los ataques a la cadena de suministro de Software.

Las empresas dependen cada vez más de la firma de código para asegurar a los clientes que su Software es confiable y seguro, para proteger la integridad de las operaciones de TI al exigir la firma y verificación de scripts, macros y aplicaciones antes de que puedan ejecutarse en sistemas internos, y para garantizar la autenticidad y evitar la manipulación de artefactos, binarios e imágenes de contenedores.

Depositamos mucha confianza en los certificados de firma de código. Después de todo, representan la identidad del Software y de la empresa que lo respalda. El problema es que, si los certificados de firma de código no están protegidos adecuadamente, son susceptibles de robo o uso indebido.

Los atacantes se aprovechan robando claves privadas de empresas confiables y utilizándolas para firmar y distribuir malware que parece confiable. De hecho, un informe reciente de VirusTotal encontró más de 1 millón de muestras de malware firmado en línea —el 87% utilizó certificados válidos para firmar código.

Si los procesos de firma de código no son seguros, esto es lo que puede suceder:

• Las claves de firma sensibles a menudo se dejan desprotegidas en unidades USB, servidores de compilación, archivos readme de repositorios o estaciones de trabajo de desarrolladores.
• Es difícil para los equipos de seguridad saber quién firmó qué, cuándo y dónde.
• Los atacantes buscan comprometer claves de firma vulnerables y robarlas para firmar malware o venderlas en el mercado negro a otros ciberdelincuentes.
• También podrían vulnerar el proceso de firma y enviar malware para ser firmado como si fueran un desarrollador, sin ser detectados.
• O peor aún, los desarrolladores incrustan accidentalmente claves de firma en su Software o firmware, donde quedan expuestas al público.

A menudo, los desarrolladores tienen que solicitar claves a un propietario de proyecto o al equipo de seguridad, lo que genera cuellos de botella y simplemente no es escalable en los entornos de desarrollo actuales, donde los equipos de aplicaciones trabajan desde cualquier lugar. O bien, toman atajos inseguros y guardan las claves localmente en sus máquinas. Un informe reciente de Keyfactor reveló que el 37% de los encuestados todavía almacena claves en servidores de compilación, y otro 17% afirma que se almacenan en estaciones de trabajo de desarrolladores.

Con Signum, los desarrolladores pueden firmar código fácilmente utilizando herramientas nativas, mientras que el motor de políticas integrado garantiza que solo los usuarios y máquinas autorizados puedan acceder a claves específicas para firmar su código.

Incluso durante la firma, las claves privadas permanecen resguardadas en un HSM en la nube certificado FIPS 140-2 integrado. Se instalan agentes ligeros en las estaciones de trabajo o en modo desatendido en los servidores de compilación para permitir la firma local en flujos de trabajo automatizados o manuales.

• HSM integrado para la generación y el almacenamiento seguro de claves de firma de código.
• Autenticación mediante SAML, OAuth y otros métodos para garantizar que los usuarios y las máquinas estén autenticados antes de firmar o acceder a la plataforma Signum.
• Controles de políticas granulares permiten a los equipos de seguridad definir reglas para el acceso y uso de certificados basadas en casos de uso y requisitos de seguridad.
• Interfaces PKCS11 y KSP se integran directamente con herramientas de firma como SignTool, Jarsigner, Cosign, OpenSSL, Microsoft HLK y otras para habilitar la firma local.
• Registros de eventos proporcionan registros irrefutables del acceso y uso de claves para una fácil auditoría.
• Panel de control centralizado para gestionar todos los certificados de firma de código, políticas, flujos de trabajo de aprobación, informes y auditorías.
• Plataforma SaaS facilita una implementación rápida y sencilla, con un HSM integrado y acuerdos de nivel de servicio (SLA) garantizados para seguridad y tiempo de actividad.

Si está familiarizado con Keyfactor, quizás sepa que ya ofrecemos una solución de firma de código y documentos — Signserver Enterprise — a través de nuestra fusión con Primekey en 2021. Lo que quizás no sepa es que adquirimos Redtrust, una empresa con sede en España, en 2019. Es la tecnología única ofrecida por Redtrust la que nos permitió construir Keyfactor Signum.

Entonces, ¿por qué construimos Keyfactor Signum?

La respuesta sencilla: ahora podemos ofrecer soluciones de firma diseñadas para abordar los diferentes casos de uso y requisitos de nuestros clientes.

Por un lado, Signserver es un potente motor de firma del lado del servidor, diseñado para un alto rendimiento y una amplia interoperabilidad con una gran variedad de formatos de firma y tipos de clave. Es altamente configurable y utiliza el hashing del lado del cliente para firmar código, ejecutables y documentos en entornos de gran escala.

Por otro lado, Signum es una solución de firma basada en políticas, centrada en aplicar salvaguardias específicas sobre quién puede firmar qué código, cuándo, dónde y con qué claves. En lugar de la firma basada en API, Signum aprovecha agentes ligeros que se conectan a herramientas de firma nativas de la plataforma, y la firma se realiza localmente en el servidor de compilación o estación de trabajo, mientras las claves permanecen seguras en el HSM centralizado.

Diferentes casos de uso, requisitos de seguridad, políticas corporativas y flujos de trabajo requieren un enfoque distinto para la firma de código. Signserver y Signum ofrecen la flexibilidad para satisfacer las necesidades únicas de nuestros clientes, sin importar su caso de uso.

Si desea obtener más información sobre nuestras soluciones de firma y encontrar la adecuada para su caso de uso, puede consultar nuestra página de soluciones aquí. Si está listo para profundizar y ver Signum o Signserver en acción, solicite una demostración con nuestro equipo hoy mismo.