Présentation de Keyfactor Signum : une nouvelle plateforme de signature en tant que service

Aujourd'hui, nous avons le plaisir d'annoncer la disponibilité générale de Keyfactor SignumLa signature de code, de conteneurs, de software et de micrologiciels se fait sans effort pour les équipes d'application et d'exploitation, et est facile à gérer sur le plan de la sécurité.

La signature du code est une étape essentielle du processus de construction pour protéger l'intégrité de software et de l'infrastructure critique, mais il ne s'agit pas seulement de certificats et de signatures. Il s'agit de s'assurer que seules les personnes et les outils appropriés ont accès à la signature du code. Dans le cas contraire, cela ouvre la porte à la propagation de logiciels malveillants, à des violations et à des attaques de la chaîne d'approvisionnementsoftware .

Signum est conçu pour protéger les clés de signature de code sensibles et contrôler qui et quoi y a accès, tout en rationalisant les processus de signature en s'intégrant aux outils natifs de la plateforme que les développeurs utilisent déjà. Il permet aux équipes de sécurité de protéger l'entreprise contre l'utilisation abusive ou le vol des clés, tout en les rendant invisibles pour les administrateurs informatiques et les développeurs qui ont besoin de signer du code efficacement.

Dans un monde où rien n'est intrinsèquement fiable - depuis le site software que nous livrons à nos clients jusqu'au code et aux conteneurs qui s'exécutent dans nos propres environnements - la nécessité de signer numériquement et de vérifier l'authenticité de chaque chose a atteint un point critique.

Ces dernières années, nous avons constaté une croissance rapide de l'utilisation de la signature de code pour empêcher la propagation de logiciels malveillants et se protéger contre la menace croissante des attaques de la chaîne d'approvisionnement software .

Les entreprises dépendent de plus en plus de la signature de code pour garantir à leurs clients que leur site software est fiable et sûr, pour protéger l'intégrité des opérations informatiques en imposant la signature et la vérification des scripts, des macros et des applications avant qu'ils ne puissent être exécutés sur des systèmes internes, et pour garantir l'authenticité et empêcher la falsification des artefacts, des binaires et des images de conteneurs.

Nous accordons une grande confiance aux certificats de signature de code. Après tout, ils représentent l'identité de software et de l'entreprise qui en est à l'origine. Le problème est que, si les certificats de signature de code ne sont pas correctement protégés, ils sont susceptibles d'être volés ou utilisés à mauvais escient.

Les attaquants en profitent pour voler les clés privées d'entreprises de confiance et les utilisent pour signer et distribuer des logiciels malveillants qui semblent fiables. En fait, un rapport récent de VirusTotal a trouvé plus d'un million d'échantillons de logiciels malveillants signés en ligne - 87 % d'entre eux utilisaient des certificats valides pour signer le code.

Si les processus de signature de code ne sont pas sécurisés, voici ce qui peut arriver :

• Les clés de signature sensibles sont souvent laissées sans protection sur des clés USB, des serveurs de compilation, des fichiers readme ou des postes de travail de développeurs.
• Il est difficile pour les équipes de sécurité de savoir qui a signé quoi, quand et où.
• Les attaquants cherchent à compromettre les clés de signature vulnérables et à les voler pour signer des logiciels malveillants ou les vendre au marché noir à d'autres cybercriminels.
• Ils peuvent également enfreindre le processus de signature et soumettre des logiciels malveillants pour qu'ils soient signés comme s'ils étaient des développeurs, sans être détectés.
• Ou pire encore, les développeurs intègrent accidentellement des clés de signature dans leur site software ou leur micrologiciel, où elles sont exposées au public.

Souvent, les développeurs doivent demander les clés à un responsable de projet ou à l'équipe de sécurité, ce qui crée des goulets d'étranglement et n'est tout simplement pas adapté aux environnements de développement actuels, dans lesquels les équipes d'application travaillent de n'importe où. Soit ils prennent des raccourcis peu sûrs et conservent les clés localement sur leurs machines. Un rapport récent de Keyfactor a révélé que 37 % des personnes interrogées stockent encore les clés sur les serveurs de développement et que 17 % les stockent sur les postes de travail des développeurs.

Avec Signum, les développeurs peuvent simplement signer le code à l'aide d'outils natifs, tandis que le moteur de politique intégré garantit que seuls les utilisateurs et les machines autorisés peuvent accéder à des clés spécifiques pour signer leur code.

Même pendant le chant, les clés privées restent enfermées dans un HSM intégré certifié FIPS 140-2. Des agents légers sont installés sur des postes de travail ou en mode sans surveillance sur des serveurs de construction pour permettre la signature locale dans des flux de travail automatisés ou manuels.

• HSM intégré pour la génération et le stockage sécurisés des clés de signature de code.
• Authentification via SAML, OAuth et d'autres méthodes pour garantir que les utilisateurs et les machines sont authentifiés avant de signer ou d'accéder à la plateforme Signum .
• Des contrôles granulaires permettent aux équipes de sécurité de définir des règles d'accès et d'utilisation des certificats en fonction des cas d'utilisation et des exigences de sécurité.
• Les interfaces PKCS11 et KSP s'intègrent directement aux outils de signature tels que SignTool, Jarsigner, Cosign, OpenSSL, Microsoft HLK et d'autres encore pour permettre la signature locale.
• Les journaux d'événements fournissent des enregistrements irréfutables de l'accès aux clés et de leur utilisation, ce qui facilite l'audit.
• Tableau de bord centralisé pour gérer tous les certificats de signature de code, les politiques, les flux de travail d'approbation, les rapports et les audits.
• La plateforme SaaS permet un déploiement simple et rapide, avec un HSM intégré et des accords de niveau de service garantis pour la sécurité et le temps de fonctionnement.

Si vous connaissez Keyfactor, vous savez peut-être que nous offrons déjà une solution de signature de codes et de documents - SignServer Enterprise - grâce à notre fusion avec Primekey en 2021. Ce que vous ne savez peut-être pas, c'est que nous avons acquis Redtrust, une société basée en Espagne, en 2019. C'est la technologie unique offerte par Redtrust qui nous a permis de créer Keyfactor Signum .

Alors, pourquoi avons-nous construit Keyfactor Signum ?

La réponse est simple : nous pouvons désormais proposer des solutions de signature conçues pour répondre aux différents cas d'utilisation et aux exigences de nos clients.

D'une part, SignServer est un puissant moteur de signature côté serveur, conçu pour des performances élevées et une interopérabilité avec un large éventail de formats de signature et de types de clés. Il est hautement configurable et utilise le hachage côté client pour signer du code, des exécutables et des documents dans des environnements à grande échelle.

D'autre part, Signum est une solution de signature basée sur une politique, axée sur l'application de garde-fous spécifiques concernant qui peut signer quel code, quand, où et avec quelles clés. Plutôt qu'une signature basée sur l'API, Signum utilise des agents légers qui se branchent sur des outils de signature natifs de la plateforme, et la signature est effectuée localement sur le serveur de construction ou le poste de travail, tandis que les clés restent sécurisées dans le HSM centralisé.

Les différents cas d'utilisation, les exigences de sécurité, les politiques d'entreprise et les flux de travail nécessitent une approche différente de la signature de code. SignServer et Signum offrent la flexibilité nécessaire pour répondre aux besoins uniques de nos clients, quel que soit leur cas d'utilisation.

Si vous souhaitez en savoir plus sur nos solutions de signature et trouver celle qui convient le mieux à votre cas d'utilisation, vous pouvez consulter notre page de solutions ici. Si vous êtes prêt à aller plus loin et à voir Signum ou SignServer en action, demandez une démonstration à notre équipe dès aujourd'hui.