En la sociedad digital, la seguridad es uno de los pilares fundamentales. Y necesita transparencia y cooperación. A principios de este año, lanzamos la Comunidad Keyfactor , para colaborar aún más estrechamente con la comunidad de desarrolladores, permitiendo a los usuarios descargar, probar, utilizar y contribuir fácilmente a nuestro software, así como compartir ideas a través de un entorno seguro.
La semana pasada por fin pudimos celebrar el primer Community Tech Meetup en Estocolmo. Resultó ser un gran día lleno de nuevos aprendizajes, temas interesantes y debates perspicaces. Me lo pasé genial conociendo a muchos de vosotros en persona después de muchos meses de aislamiento y reuniones en línea.
Alrededor de 40 profesionales de la seguridad altamente cualificados se reunieron con nosotros para participar en talleres y establecer contactos en Berns, un bello e histórico establecimiento situado en el corazón de Estocolmo. La jornada comenzó con una excelente ponencia de Hasain Alshakarti, asesor principal de ciberseguridad de Truesec, que aportó los conocimientos adquiridos gracias a la experiencia de su equipo en la respuesta a incidentes de seguridad y la realización de investigaciones forenses tras ciberataques.
En los talleres, la preparación post-cuántica fue uno de los temas principales de la jornada. Aunque pocos la han probado aún, la criptografía poscuántica está lista para ser probada y utilizada. Otros temas fueron los gráficos Helm para desplegar PKI, la firma de contenedores con Cosign y Connaisseur, y la gestión de identidades IoT con una prueba de control Keyfactor de Azure marketplace.
La criptografía híbrida poscuántica en la práctica
Aunque ya se han anunciado los finalistas de la tercera ronda del concurso post cuántico del NIST (Instituto Nacional de Normas y Tecnología), aún habrá que esperar un par de años para que se establezca una norma. Y nadie sabe cuántos años pasarán hasta que los ordenadores cuánticos sean una amenaza real, si es que llegan a serlo. Mientras tanto, muchos responsables de TI se preguntan cómo preparar a su organización y cuánto tiempo podemos esperar que los datos permanezcan seguros con los algoritmos clásicos de cifrado.
KeyfactorEn el primer taller del día, David Hook, vicepresidente de ingeniería de Software para Bouncy Castle, y Roy Basmacier, ingeniero de Software , explicaron cómo empezar a prepararse utilizando un sistema de criptografía híbrida híbrida, que combina algoritmos de cifrado clásicos y poscuánticos. De este modo, un algoritmo clásico puede endurecido cuánticamente manteniendo la seguridad que ofrece. Se nos presentaron varios mecanismos normalizados para técnicas híbridas, así como la forma en que pueden aplicarse ya hoy con Bouncy Castle.
Todos los algoritmos de encriptación de clave pública post-cuántica están diseñados para ser utilizados como Mecanismos de Encapsulación de Clave (KEMs). Estos se diferencian de los mecanismos de transporte de claves como OAEP en que el KEM proporciona un secreto aleatorio para utilizarlo en el transporte de claves, en lugar de cifrar directamente la clave simétrica. Esta característica de un KEM poscuántico lo hace ideal para su uso en algoritmos híbridos basados en el acuerdo o el transporte de claves.
Como parte del taller, David y Roy presentaron cómo aplicar los KEM con algoritmos clásicos utilizando tanto la versión no FIPS como la FIPS de Bouncy Castle.
Despliegues repetibles y firma de contenedores permiten DevOps PKI
Hoy en día, los administradores de redes y sistemas están sometidos a una gran presión para proteger sus entornos, implantar la confianza cero y separar las redes corporativas internas con múltiples capas de seguridad. Para lograrlo, necesitan soluciones de seguridad que sean fáciles de implantar, utilizar e integrar. La automatización ayuda a transformar funciones de seguridad antes estáticas para que sean más dinámicas y se adapten a organizaciones ágiles en entornos DevOps. Y con la automatización, el tiempo de despliegue puede reducirse en factores impresionantes, al tiempo que se limitan los errores humanos que pueden conllevar las instalaciones manuales.
Nuestro ponente invitado Edgar Pombal, DevOps y Administrador de Sistemas en Siemens, mostró cómo su organización aprovecha los playbooks de Ansible para automatizar tareas de PKI como despliegue, actualizaciones, hardening, pruebas y monitorización. Gracias a su facilidad de uso y a los flujos de trabajo preconfigurados, Ansible es una buena opción para gestionar estas tareas. La PKI de Siemens da servicio a muchas líneas de negocio, como el ferrocarril, la fabricación y la gestión de edificios. Como el número de certificados en uso aumenta rápidamente, la automatización es crucial.
Como otra forma de permitir el despliegue repetible y escalable, los miembros del equipo Sven Rajala, US Federal & East Coast Sales Engineer, y Alfredo Neira, Sr Director of Global Professional Services, mostraron cómo desplegar EJBCA y SignServer utilizando gráficos Helm, que ayudan a definir, instalar y actualizar aplicaciones Kubernetes.
Endurecer la cadena de suministro de software es un requisito hoy en día y Anton Hodell demostró cómo asegurar los despliegues en la nube con contenedores firmados de forma sencilla utilizando Cosign, Connaisseur y SignServer.
IoT gestión de identidades con Keyfactor Control como prueba de Azure
Antes de que su organización emprenda el viaje IoT , es importante que todos los aspectos de la solución, desde la recopilación de datos hasta la gestión de identidades, se prueben en su propio entorno. Con Keyfactor Control as a Test Drive del marketplace de Azure, puede probar la gestión de identidades IoT conectada a su aplicación de forma gratuita durante 30 días, lo que la hace adecuada, por ejemplo, para una prueba de concepto.
En otro taller, Harry Haramis, SVP de Cloud & SaaS Marketplaces de Keyfactor, y Alex Gregory, VP de Marketplace Products, mostraron cómo poner en marcha el Test Drive de Keyfactor Control y vincularlo a un tenant Azure IoT existente. La unidad de prueba proporciona la funcionalidad completa de Keyfactor Control y está conectada a EJBCA como un contenedor Docker para la emisión de certificados.
Esta configuración proporciona una gestión centralizada de las identidades de los dispositivos, así como un aprovisionamiento seguro y automatización para su Azure IoT Hub. Otra ventaja es la agilidad criptográfica: con una plataforma para gestionar todas las identidades, cualquier cambio futuro de los algoritmos criptográficos se puede realizar a escala y sin retiradas.
Despliegues flexibles y preparación postcuántica en EJBCA y SignServer
La jornada concluyó con sesiones de preguntas y respuestas centradas en los productos EJBCA y SignServer.
Mike Agrenius Kushner, Senior Product Architect, Henrik Sunmark, Product Owner, y yo presentamos algunas características que pretenden facilitar la vida a los usuarios, como el Easy Rest Client para EJBCA, el despliegue Docker, la automatización con playbooks Ansible, y varias posibilidades de integración.
Como se ha demostrado, tanto EJBCA como SignServer pueden desplegarse de varias maneras, incluidas las soluciones de nube híbrida, por ejemplo con autoridades de certificación (CA) locales y autoridades de validación (VA) en la nube.
El tema de la preparación poscuántica continuó en las sesiones sobre productos con un par de demostraciones. En EJBCA, presentamos cómo utilizar los candidatos al PQC del NIST con certificados, de una manera fácil de usar la API Kotlin deBouncy Castle . Y en la sesión SignServer con Magnus Normark, Director de Producto, y Markus Kilås, Arquitecto Senior de Producto, se cubrió la seguridad cuántica al demostrar cómo firmar código con SignServer utilizando el algoritmo SPHINCS+.
La velada continuó con una cena y un networking en el agradable ambiente de Berns.
Siga a la Comunidad Keyfactor
Hasta nuestro próximo encuentro, espero que nos sigas para conocer las últimas y mejores actualizaciones y que te unas a nuestros foros de GitHub para hacer preguntas o compartir tus ideas: