Si vous avez déjà essayé d'organiser une rencontre technique d'une demi-journée qui couvre tout, des algorithmes à sécurité quantique aux déploiements automatisés de PKI , vous savez que ce n'est pas vraiment une tâche facile. Heureusement, notre incroyable équipe, un peu de caféine et des petits pains à la cannelle suédois ont permis d'organiser le Keyfactor Tech Meetup 2025 : "Hands-on with PQC - Build, Secure, Automate".
En tant que responsable des relations avec la communauté et les développeurs (et maître officiel de l'ordre du jour), j'ai eu le plaisir d'organiser une demi-journée au cours de laquelle la conformité a rencontré le code, la théorie a rencontré la pratique et la cryptographie a connecté nos clients, nos partenaires et la communauté des développeurs au sens large.
Pourquoi nous sommes ici : La CQP en pratique
La cryptographie post-quantique (PQC) n'est plus un "sujet d'avenir". C'est maintenant !
Avec la loi européenne sur la résilience cybernétique (CRA) et les orientations émergentes du NIST et du BSI, l'industrie s'oriente vers l'agilité cryptographique et la résilience quantique. Notre objectif pour le Tech Meetup de cette année était de rendre la PQC réelle, pas seulement à travers des diapositives ou des implémentations isolées de normes et de spécifications, mais à travers des démonstrations en direct auxquelles les ingénieurs peuvent se référer, qu'ils peuvent tester et appliquer dans leurs propres cas d'utilisation et leurs propres environnements.
Nous avons commencé par un aperçu approfondi de la part de nos experts en technologie :
- Guillaume Crinon, notre gourou de l'IoT , a montré comment transformer la conformité en code, en guidant les équipementiers sur la façon de se préparer à la loi sur la cyber-résilience (CRA) avec un IoT sécurisé dès la conception.
- David Hook, la légende derrière Bouncy Castle, a montré comment les normes PQC évoluent et sont mises en œuvre dans les bibliothèques cryptographiques que les développeurs utilisent tous les jours.
- Tomas Gustavsson, le cerveau de l'EJBCA, a expliqué comment la CQP est intégrée dans les fondations de l'PKI , ouvrant la voie au prochain saut quantique.
- Sven Rajala, notre magicien de l'automatisation, a montré comment faire évoluer et sécuriser une PKI avec un PQC à volonté, le tout déployé et géré à la vitesse d'une entreprise.
De l'ARC à la crypto-agilité
La première session s'est penchée sur les obligations de l'ARC dans le monde réel et sur ce que les OEM doivent appliquer, de la divulgation coordonnée des vulnérabilités aux mises à jour sécurisées et au RBAC dans la signature des micrologiciels. Guillaume a présenté la signature de firmware avec PQC sur la famille i.MX 9 de NXP, en utilisant SPSDK + l'intégration Keyfactor SignServer .
Le résultat ? Des flux de signature résistants aux quanta qui s'intègrent naturellement dans les pipelines CI/CD.
Pour les ingénieurs, cela signifie une évolution cryptographique sans chaos. Les voies de migration hybrides utilisant à la fois les algorithmes ECC/RSA et PQC ont montré comment assurer la pérennité des systèmes tout en maintenant l'interopérabilité avec l'infrastructure existante.
Cryptographie, PKI & Signing Mises à jour
Lors de cette session, David Hook et Tomas Gustavsson nous ont plongés dans le monde en pleine évolution de la cryptographie et de l'PKI.
David a expliqué comment les normes post-quantiques telles que ML-DSA et ML-KEM progressent au sein du NIST et de l'IETF, et comment ces nouveaux algorithmes sont déjà mis en œuvre dans Bouncy Castle pour prendre en charge les formats de certificats hybrides et composites.
Tomas a ensuite expliqué comment ces avancées cryptographiques sont intégrées dans l'PKI, notamment la prise en charge des chaînes hybrides, des LCR, des demandes de certification, des HSM compatibles avec la PQC, de la signature (CMS) et de TLS.
Ensemble, ils ont montré comment EJBCA, SignServer et Bouncy Castle aident les développeurs à combler le fossé entre l'infrastructure actuelle et l'avenir quantique.
Rendre le CQP tangible : Les démonstrations en direct
Cette année, les démonstrations en direct ont été le point d'orgue de l'événement, la partie qui définit véritablement notre style de rencontre.
Nous avons construit et déployé une PKI entièrement automatisée et compatible avec la PQC :
- EJBCALe système de gestion de l'information, conteneurisé pour plus d'agilité
- Helm, pour des déploiements reproductibles et évolutifs
- ConfigDump, pour une configuration cohérente dans tous les environnements
- Et, bien sûr, l'intégration du HSM, qui sécurise les clés et les opérations tout au long du processus.
En temps réel, les participants nous ont vu émettre et tester des certificats PQC, hybrides et composites, valider les échanges hybrides TLS 1.3 et confirmer la signature et la vérification des messages CMS, le tout interopérable dans des configurations classiques et à sécurité quantique.
Il ne s'agissait pas seulement de montrer que cela fonctionne ; il s'agissait de montrer l'agilité, que cela peut évoluer, s'intégrer et être automatisé par n'importe quel ingénieur, dans n'importe quel environnement.
Une vue d'ensemble : Leadership en matière d'écosystème et de CQP
La CQP n'est pas un phénomène isolé. Il faut un village ou, dans notre cas, un écosystème d'organismes de normalisation, de fournisseurs de technologies, de clients et de partenaires.
Grâce à notre collaboration avec des fournisseurs de composants tels que NXP, des fournisseurs de HSM, des communautés de open-source telles qu'OpenSSL, et à notre participation active à l'élaboration de normes, nous veillons à ce que la PQC et la cryptographie hybride soient disponibles là où les développeurs vivent, construisent et innovent.
Produits open-source de KeyfactorEJBCA, SignServeret Bouncy Castle ne font pas que participer à la discussion, ils la mènent. Nous contribuons à définir comment les certificats PQC, hybrides et composites fonctionneront dans la prochaine génération de systèmes connectés, des environnements cloud-native aux applications bancaires et financières, en passant par l'IoT.
Construire → Sécuriser → Automatiser
S'il y a un message que nous voulions que chacun retienne, c'est bien celui-là :
La crypto-agilité n'est pas forcément synonyme de chaos.
Avec les bonnes intégrations, des PKI soutenues par HSM aux conteneurs déployés par Helm, vous pouvez faire évoluer votre stratégie de cryptographie tout en maintenant la confiance et le contrôle.
Merci de votre attention !
À tous ceux qui nous ont rejoints à Stockholm, merci d'avoir apporté votre curiosité, vos questions et votre énergie. Grâce à votre participation, les démonstrations ont pris vie et les conversations ont permis de faire avancer cette évolution.
Si vous n'avez pas pu venir, restez à l'écoute ! Nous publierons bientôt des guides pratiques enregistrés, des scripts de démonstration et des exemples de ConfigDump sur keyfactor
Et si vous vous êtes déjà demandé à quoi ressemblait une démonstration PKI en jonglant avec quelques HSM distants, des cartes Helm et des certificats hybrides, disons simplement que c'est en partie de la science, en partie de la magie et à 100 % de l'esprit communautaire.
Ensemble, nous construisons l'avenir de la confiance cryptographique. Une démo à la fois.
