Hoy nos complace anunciar la disponibilidad general de Keyfactor Signumuna plataforma de firma segura como servicio que facilita la firma de código, contenedores, software y firmware a los equipos de aplicaciones y operaciones, así como la gestión de la seguridad.
La firma de código es un paso fundamental en el proceso de creación para proteger la integridad de software y las infraestructuras críticas, pero es algo más que certificados y firmas. Se trata de garantizar que sólo las personas y herramientas adecuadas tengan acceso a la firma de código. De lo contrario, se abre la puerta a la propagación de malware, brechas y ataques a la cadena de suministro de software .
Signum está diseñado para proteger las claves de firma de código sensibles y controlar quién y qué tiene acceso a ellas, al tiempo que agiliza los procesos de firma al integrarse con las herramientas nativas de la plataforma que ya utilizan los desarrolladores. Permite a los equipos de seguridad proteger la empresa contra el uso indebido o el robo de claves y la hace invisible para los administradores de TI y los desarrolladores que necesitan firmar código de forma eficiente.
La nueva regla: no confiar en nada, firmar y verificar todo
En un mundo en el que nada es intrínsecamente fiable -desde el software que entregamos a los clientes hasta el código y los contenedores que se ejecutan en nuestros propios entornos-, la necesidad de firmar digitalmente y verificar la autenticidad de todo ha alcanzado un punto crítico.
En los últimos años, hemos asistido a un rápido crecimiento del uso de la firma de código para evitar la propagación de programas maliciosos y protegerse contra la creciente amenaza de ataques a la cadena de suministro software .
Las empresas dependen cada vez más de la firma de código para garantizar a sus clientes que su software es fiable y seguro, para proteger la integridad de las operaciones informáticas imponiendo la firma y verificación de scripts, macros y aplicaciones antes de que puedan ejecutarse en sistemas internos, y para garantizar la autenticidad y evitar la manipulación de artefactos, binarios e imágenes de contenedores.
El reto: la firma de código es una herramienta poderosa, si es segura.
Confiamos mucho en los certificados de firma de código. Al fin y al cabo, representan la identidad de software y de la empresa que hay detrás. El problema es que, si los certificados de firma de código no están debidamente protegidos, son susceptibles de robo o uso indebido.
Los atacantes se aprovechan robando claves privadas de empresas de confianza y utilizándolas para firmar y distribuir malware que parece de confianza. De hecho, un informe reciente de VirusTotal encontró más de un millón de muestras de malware firmado en línea : el 87 % utilizaba certificados válidos para firmar código.
Si los procesos de firma de código no son seguros, esto es lo que puede ocurrir:
- Las claves de firma confidenciales suelen quedar desprotegidas en unidades USB, servidores de compilación, archivos repo readme o estaciones de trabajo de desarrolladores.
- Es difícil para los equipos de seguridad saber quién firmó qué, cuándo y dónde.
- Los atacantes tratan de comprometer las claves de firma vulnerables y robarlas para firmar malware o venderlas en el mercado negro a otros ciberdelincuentes.
- También podrían violar el proceso de firma y enviar malware para que se firme como si fueran desarrolladores, sin ser detectados.
- O peor aún, los desarrolladores incrustan accidentalmente claves de firma en su software o firmware, donde quedan expuestas al público.
Keyfactor Signumfirma digital segura, sin complicaciones
A menudo, los desarrolladores tienen que solicitar las claves al propietario del proyecto o al equipo de seguridad, lo que crea cuellos de botella y no es escalable en los entornos de desarrollo actuales, en los que los equipos de aplicaciones trabajan desde cualquier lugar. O bien toman atajos inseguros y guardan las claves localmente en sus máquinas. Según un informe reciente de Keyfactor , el 37% de los encuestados sigue guardando las claves en los servidores de compilación, y otro 17% dice que las guarda en las estaciones de trabajo de los desarrolladores.
Con Signum, los desarrolladores pueden firmar código de forma sencilla utilizando herramientas nativas, mientras que el motor de políticas incorporado garantiza que sólo los usuarios y máquinas autorizados puedan acceder a claves específicas para firmar su código.
Incluso durante la firma, las claves privadas permanecen bajo llave en un HSM en la nube integrado con certificación FIPS 140-2. Los agentes ligeros se instalan en estaciones de trabajo o en modo desatendido en servidores de creación para permitir la firma local en flujos de trabajo automatizados o manuales.
Principales características y capacidades:
- HSM integrado para generar y almacenar de forma segura claves de firma de código.
- Autenticación mediante SAML, OAuth y otros métodos para garantizar la autenticación de usuarios y máquinas antes de firmar o acceder a la plataforma Signum .
- Los controles de políticas granulares permiten a los equipos de seguridad definir reglas para el acceso y uso de certificados basadas en casos de uso y requisitos de seguridad.
- Las interfaces PKCS11 y KSP se integran directamente con herramientas de firma como SignTool, Jarsigner, Cosign, OpenSSL, Microsoft HLK, etc. para permitir la firma local.
- Los registros de eventos proporcionan registros irrefutables del acceso y uso de las claves para facilitar la auditabilidad.
- Panel de control centralizado para gestionar todos los certificados de firma de código, políticas, flujos de trabajo de aprobación, informes y auditorías.
- La plataforma SaaS hace que la implantación sea rápida y sencilla, con un HSM integrado y acuerdos de nivel de servicio garantizados para la seguridad y el tiempo de actividad.
Signum vs SignServer: ¿Cuál es la diferencia?
Si estás familiarizado con Keyfactor, sabrás que ya ofrecemos una solución de firma de códigos y documentos - SignServer Enterprise - a través de nuestra fusión con Primekey en 2021. Lo que quizá no sepas es que ya en 2019 adquirimos Redtrust, una empresa con sede en España. Es la tecnología única que ofrece Redtrust la que nos permitió construir Keyfactor Signum .
Entonces, ¿por qué construimos Keyfactor Signum ?
La respuesta es sencilla: ahora podemos ofrecer soluciones de firma diseñadas para responder a los distintos casos de uso y requisitos de nuestros clientes.
Por un lado, SignServer es un potente motor de firma del lado del servidor, construido para ofrecer un alto rendimiento e interoperabilidad con una amplia gama de formatos de firma y tipos de claves. Es muy configurable y utiliza hashing del lado del cliente para firmar código, ejecutables y documentos en entornos a gran escala.
Por otro lado, Signum es una solución de firma basada en políticas, centrada en la aplicación de límites específicos sobre quién puede firmar qué código, cuándo, dónde y con qué claves. En lugar de una firma basada en API, Signum utiliza agentes ligeros que se conectan a herramientas de firma nativas de la plataforma, y la firma se realiza localmente en el servidor de compilación o en la estación de trabajo, mientras que las claves permanecen seguras en el HSM centralizado.
Diferentes casos de uso, requisitos de seguridad, políticas corporativas y flujos de trabajo requieren un enfoque diferente para la firma de código. SignServer y Signum ofrecen la flexibilidad necesaria para satisfacer las necesidades únicas de nuestros clientes, independientemente de su caso de uso.
¿Quiere saber más?
Si desea obtener más información sobre nuestras soluciones de firma y encontrar la que mejor se adapte a su caso de uso, puede consultar nuestra página de soluciones aquí. Si está listo para profundizar y ver Signum o SignServer en acción, solicite una demostración con nuestro equipo hoy mismo.
