Comienza la cuenta atrás para Keyfactor Tech Days | ¡Asegura tu plaza hoy mismo!

Reflexiones sobre el encuentro tecnológico comunitario de este año Keyfactor

La cultura de Keyfactor

La criptografía poscuántica, la seguridad de la cadena de suministro software y la colaboración TECHSynergy fueron los temas centrales del encuentro Keyfactor Community Tech Meetup, celebrado en Estocolmo en septiembre. En este blog, Malin Ridelius, Vicepresidenta de la Comunidad en Keyfactor , comparte sus ideas.

Para el Community Tech Meetup de este año, he tenido el privilegio de trabajar en estrecha colaboración con nuestros expertos del sector, desarrolladores e ingenieros para diseñar un programa que aborde dos retos acuciantes de la ciberseguridad actual: prepararse para la criptografía post-cuántica (PQC) y proteger la cadena de suministro software .

No podíamos llegar en mejor momento, ya que el NIST anunció hace poco más de un mes nuevas normas para el PQC. Tuvimos la suerte de dar la bienvenida a Christopher Robinson Director de Comunicaciones de Seguridad de Intel y Presidente del Consejo Asesor Técnico de OpenSSFcomo orador principal.

Christopher comenzó la jornada presentándonos OpenSSF, destacando los proyectos e iniciativas innovadores que están haciendo avanzar la seguridad de la cadena de suministro en software . Habló de varios proyectos clave, como SLSA, in-toto, SigStore y OpenSSF Score Card. Estamos orgullosos de que Keyfactor se uniera a OpenSSF en septiembre de este año.

En el acto se debatieron soluciones prácticas y se ofrecieron experiencias prácticas con criptografía, ICP y firma, pilares básicos de la ciberseguridad. Juntos estamos sentando las bases de un ecosistema software más resistente, seguro y preparado para el futuro.

La importancia de prepararse para la criptografía poscuántica (PQC)

En su primera presentación, Tomas Gustavsson, Chief PKI Officer, y David Hook, vicepresidente de ingeniería de Software , Crypto Workshop, hablaron de las últimas actualizaciones del NIST sobre algoritmos criptográficos poscuánticos (PQC) recientemente estandarizados, como ML-DSA, ML-KEM y SLH-DSA. Destacaron los procesos de firma poscuántica y los nuevos mecanismos de encapsulación de claves (KEM), que difieren significativamente de los métodos tradicionales como RSA y Diffie-Hellman. La presentación también abarcó varios cambios de protocolo necesarios para un futuro seguro desde el punto de vista cuántico, como las actualizaciones de TLS y CMS.

Destacando la importancia de la criptoagilidadTomas y David subrayaron la necesidad de que las organizaciones actualicen rápidamente los protocolos criptográficos para mantener la seguridad. Con el rápido avance de la computación cuántica, animaron a las organizaciones a inventariar sus algoritmos actuales, evaluar las vulnerabilidades y establecer un calendario para la transición a soluciones resistentes a la cuántica.

Tomas y David también exploraron el papel de los sistemas híbridos en la transición a PQC. Una vez más, hicieron hincapié en la agilidad criptográfica y explicaron cómo los sistemas híbridos mejoran la seguridad y la interoperabilidad durante la migración. La presentación abarcó varias estrategias de migración (completa, transitoria e híbrida), cada una diseñada para satisfacer necesidades organizativas específicas. Además, la sesión repasó las opciones de PKI híbrida y las normas emergentes para certificados híbridos, que utilizan mecanismos de doble clave para facilitar una transición más suave de los sistemas criptográficos clásicos a los resistentes al quantum.

En una tercera presentación, Tomas hizo un seguimiento de las sesiones del año pasado sobre PQC, hardware security modules (HSMs), y PKI con nuevos hallazgos de las Pruebas de interoperabilidad de PQC PKI/EJBCA con HSMs. La presentación analizó las pruebas de algoritmos criptográficos poscuánticos con HSM, centrándose en áreas clave como el algoritmo ML-DSA, el tamaño de los certificados, la velocidad de firma y el proceso de emisión, utilizando diversas métricas comparativas. Tomas hizo hincapié en que los HSM desempeñan un papel crucial en las soluciones PKI y de firma, por lo que es esencial incluir los HSM en cualquier plan de migración PQC y de pruebas de interoperabilidad de las organizaciones.

Asegurar la cadena de suministro Software con Keyfactor y Chainloop

Miguel Martínez Trivino (cofundador de Chainloop), Ben Dewberry (director de producto, gestión de firmas y claves en Keyfactor), y Christofer Vikström (antiguo estudiante de tesis de máster en Keyfactor y ahora desarrollador en el equipo de SignServer ) nos acompañaron en nuestra presentación. Hablaron de la importancia de proteger la cadena de suministro de software en respuesta al aumento de los ataques a la cadena de suministro y a los nuevos requisitos normativos, como la Ley de Ciberresiliencia (CRA). Ben destacó los retos de la gestión de dependencias y habló de marcos como SLSA, que proporcionan pasos estructurados para mejorar la seguridad de la cadena de suministro. Se hizo hincapié en las herramientas para la firma de imágenes, la creación de listas de materiales (SBOM) en Software y la gestión de vulnerabilidades. Miguel destacó el papel de plataformas como Chainloop en la recopilación y gestión de metadatos relacionados con los artefactos y certificados de software , lo que permite a las organizaciones mejorar su postura de seguridad y cumplir los requisitos de conformidad.

Christopher compartió los resultados de su tesis de máster, que exploraba la aplicación de estas prácticas en contextos empresariales y mostraba las ventajas de una mayor transparencia, responsabilidad y seguridad.

Información clave

  • El aumento de los ataques a la cadena de suministro exige una actuación inmediata para reforzar la seguridad de la cadena de suministro software .
  • Marcos como el SLSA ofrecen medidas prácticas para mejorar la seguridad de la cadena de suministro.
  • Herramientas como los SBOM y la firma de imágenes son cruciales para gestionar las vulnerabilidades y garantizar el cumplimiento de la normativa.
  • Plataformas como Chainloop facilitan la recopilación y gestión de metadatos de la cadena de suministro software , mejorando la visibilidad y la rendición de cuentas.

Un panorama cambiante en la ciberseguridad

La creciente complejidad de la seguridad de los dispositivos de IoT , las cadenas de suministro de software y las infraestructuras críticas es indiscutible. Andreas Philipp Senior Business Development Manager, IoT, Keyfactor e Ingeniero de Producción Inteligente de Florian Handke, Campus Schwarzwald en la que se trataron casos de uso como el arranque seguro, las actualizaciones por aire (OTA) y la ciberseguridad industrial OPC-UA, pusieron de manifiesto lo esencial que es desarrollar sistemas de seguridad robustos y adaptables que puedan proteger los dispositivos a lo largo de todo su ciclo de vida.

Un tema que surgió repetidamente durante la jornada fue la Ley de Ciberresiliencia (CRA) y sus implicaciones, para los fabricantes de dispositivos IoT , especialmente en los sectores industrial y IoT . La CRA obliga a cumplir las normas de ciberseguridad a todos los productos con elementos digitales, clasificándolos en clases críticas y no críticas. Esta legislación aclara que los fabricantes deben proporcionar actualizaciones seguras durante todo el ciclo de vida de un producto, sin excepciones. Como ya hemos dicho, es más fácil decirlo que hacerlo, sobre todo en el caso de los dispositivos industriales IoT con una larga vida útil.

Apertura y colaboración para afrontar los nuevos retos de seguridad

En Keyfactor entendemos el papel fundamental de la apertura y la colaboración. Durante nuestra sesión "Ask Me Anything" (Pregúntame lo que quieras) en EJBCA y SignServer, nuestros propietarios de productos y arquitectos subieron al escenario para interactuar con el público y responder a preguntas sobre estrategias y características de los productos. Nuestro compromiso y colaboración con la comunidad y el ecosistema tecnológico es esencial para mantenernos a la vanguardia del panorama de la seguridad, en rápida evolución.

En la reunión de este año, presentamos los puntos de demostración de TECHSynergy, que muestran casos de uso impulsados por integraciones dentro del ecosistema tecnológico. Los casos de uso incluyeron actualizaciones seguras por aire, ciberseguridad industrial con open62541, firma con acciones de GitHub, PKI y mallas de servicios Istio multiclúster, y mucho más. Estas demostraciones pusieron de relieve cómo nuestras soluciones de PKI y firma se integran a la perfección en el contexto más amplio de las prácticas modernas de ciberseguridad.

De cara al futuro

Mientras miramos hacia un mundo en el que computación cuántica, agilidad criptográficay la seguridad de la cadena de suministro se conviertan en algo más que palabras de moda, me animan los progresos realizados hasta ahora y las conversaciones en curso. Estamos en la cúspide de cambios significativos, y eventos como nuestro Community Tech Meetup son vitales para dar forma a cómo abordamos el futuro de la ciberseguridad. Juntos podemos construir sistemas resistentes, adaptables y seguros, hoy y mañana.

Si no pudo asistir a la reunión de este año, le animo a que participe con nosotros en futuros actos y debates y explore nuestros recursos en línea. Estamos encantados de que nos acompañes en este viaje.

Si no pudo asistir a la reunión de este año, le animo a que participe con nosotros en futuros actos y debates y explore nuestros recursos en línea. Estamos encantados de que nos acompañes en este viaje.

Manténgase al día con el boletín de la Comunidad Keyfactor .

Suscríbase al boletín