La cryptographie post-quantique, la sécurité de la chaîne d'approvisionnement ( software ) et la collaboration TECHSynergy ont été au cœur de la rencontre technologique de la communauté Keyfactor qui s'est tenue à Stockholm en septembre. Dans ce blog, Malin Ridelius, vice-présidente de la communauté à Keyfactor , fait part de ses réflexions.
Pour le Community Tech Meetup de cette année, j'ai eu le privilège de travailler en étroite collaboration avec nos experts du secteur, nos développeurs et nos ingénieurs pour concevoir un programme qui s'attaque à deux défis pressants de la cybersécurité aujourd'hui : se préparer à la cryptographie post-quantique (PQC) et sécuriser la chaîne d'approvisionnement software .
Le moment n'aurait pu être mieux choisi, puisque le NIST a récemment annoncé de nouvelles normes pour le PQC, il y a un peu plus d'un mois. Nous avons eu la chance d'accueillir Christopher Robinson directeur des communications de sécurité chez Intel et président du conseil consultatif technique de l'OpenSSF.en tant qu'orateur principal.
Christopher a commencé la journée en nous présentant OpenSSF, en soulignant les projets et initiatives innovants qui font progresser la sécurité de la chaîne d'approvisionnement software . Il a évoqué plusieurs projets clés, dont SLSA, in-toto, SigStore et OpenSSF Score Card. Nous sommes fiers que Keyfactor ait rejoint OpenSSF en septembre de cette année.
L'événement a donné lieu à des discussions sur des solutions pratiques et à des expériences concrètes en matière de cryptographie, de PKI et de signature, piliers essentiels de la cybersécurité. Ensemble, nous jetons les bases d'un écosystème software plus résilient, à l'épreuve du temps et sûr pour tous.
L'importance de se préparer à la cryptographie post-quantique (PQC)
Dans leur première présentation, Tomas Gustavsson, Chief PKI Officer, et David Hook, vice-président de Software Engineering, Crypto Workshop, ont présenté les dernières mises à jour du NIST sur les algorithmes cryptographiques post-quantiques (PQC) nouvellement normalisés, notamment ML-DSA, ML-KEM et SLH-DSA. Ils ont mis en évidence les processus de signature post-quantique et les nouveaux mécanismes d'encapsulation des clés (KEM), qui diffèrent considérablement des méthodes traditionnelles telles que RSA et Diffie-Hellman. La présentation a également porté sur les différents changements de protocole nécessaires pour un avenir sûr sur le plan quantique, tels que les mises à jour de TLS et CMS.
Soulignant l'importance de la agilité cryptographiqueTomas et David ont souligné la nécessité pour les organisations de mettre rapidement à jour les protocoles cryptographiques afin de maintenir la sécurité. Avec les progrès rapides de l'informatique quantique, ils ont encouragé les organisations à faire l'inventaire de leurs algorithmes actuels, à évaluer les vulnérabilités et à établir un calendrier de transition vers des solutions résistantes à l'informatique quantique.
Tomas et David ont également exploré le rôle des systèmes hybrides dans la transition vers la PQC. Ils ont à nouveau mis l'accent sur l'agilité cryptographique, en expliquant comment les systèmes hybrides renforcent la sécurité et l'interopérabilité au cours de la migration. La présentation a porté sur diverses stratégies de migration - complète, transitoire et hybride - chacune conçue pour répondre à des besoins organisationnels spécifiques. En outre, la session a passé en revue les options hybrides PKI et les normes émergentes pour les certificats hybrides, qui utilisent des mécanismes à double clé pour faciliter une transition en douceur des systèmes cryptographiques classiques aux systèmes cryptographiques résistants aux quanta.
Dans une troisième présentation, Tomas a fait le suivi des sessions de l'année dernière sur le PQC, les modules de sécurité hardware (HSM) et PKI en présentant les nouvelles conclusions du test d'interopérabilité du PQC avec les modules de sécurité HSM. Test d'interopérabilité de PQC PKI/EJBCA avec les HSM. La présentation a porté sur le test des algorithmes cryptographiques post-quantiques avec les HSM, en se concentrant sur des domaines clés tels que l'algorithme ML-DSA, la taille du certificat, la vitesse de signature et le processus d'émission, à l'aide de diverses mesures comparatives. Tomas a souligné que les HSM jouent un rôle crucial dans les solutions PKI et de signature, et qu'il est donc essentiel d'inclure les HSM dans tous les plans de migration PQC et de test d'interopérabilité pour les organisations.
Sécuriser la chaîne d'approvisionnement Software avec Keyfactor et Chainloop
Miguel Martinez Trivino (cofondateur de Chainloop), Ben Dewberry (Product Manager, Signing and Key Management chez Keyfactor), et Christofer Vikström (anciennement étudiant en master à Keyfactor et maintenant développeur dans l'équipe SignServer ) se sont joints à notre présentation. Ils ont discuté de l'importance de sécuriser la chaîne d'approvisionnement software en réponse aux attaques croissantes de la chaîne d'approvisionnement et aux nouvelles exigences réglementaires telles que la loi sur la résilience cybernétique (CRA). Ben a souligné les défis de la gestion des dépendances et a parlé de cadres tels que SLSA qui fournissent des étapes structurées pour améliorer la sécurité de la chaîne d'approvisionnement. Les outils de signature des images, de création de Software Bills of Materials (SBOM) et de gestion des vulnérabilités ont été mis en avant. Miguel a souligné le rôle de plateformes telles que Chainloop dans la collecte et la gestion des métadonnées liées aux artefacts et aux attestations de software , permettant aux organisations d'améliorer leur posture de sécurité et de répondre aux exigences de conformité.
Christopher a présenté les résultats de son mémoire de maîtrise, qui portait sur la mise en œuvre de ces pratiques dans des contextes d'entreprise et présentait les avantages d'une transparence, d'une responsabilité et d'une sécurité accrues.
Aperçu des principaux éléments
- L'augmentation des attaques contre la chaîne d'approvisionnement nécessite une action immédiate pour renforcer la sécurité de la chaîne d'approvisionnement sur le site software .
- Les cadres tels que l'ASLC fournissent des mesures concrètes pour améliorer la sécurité de la chaîne d'approvisionnement.
- Des outils tels que les SBOM et la signature d'images sont essentiels pour gérer les vulnérabilités et garantir la conformité.
- Des plateformes telles que Chainloop facilitent la collecte et la gestion des métadonnées de la chaîne d'approvisionnement software , améliorant ainsi la visibilité et la responsabilité.
Un paysage changeant en matière de cybersécurité
La complexité croissante de la sécurisation des appareils IoT , des chaînes d'approvisionnement software et des infrastructures critiques est indéniable. Andreas Philipp Senior Business Development Manager, IoT, Keyfactor et Florian Handke's Smart Production Engineer, Campus Schwarzwald La présentation d'Andreas Philipp lors du meetingup, qui traitait de cas d'utilisation tels que le démarrage sécurisé, les mises à jour OTA (Over-the-Air) et la cybersécurité industrielle OPC-UA, a montré à quel point il est essentiel de développer des systèmes de sécurité robustes et adaptables capables de protéger les appareils tout au long de leur cycle de vie.
Un thème qui est revenu à plusieurs reprises au cours de la journée a été la loi sur la cyber-résilience (CRA) et ses implications pour les fabricants d'appareils IoT , en particulier dans les secteurs industriels et IoT . L'ARC impose la conformité à la cybersécurité de tous les produits comportant des éléments numériques, en les classant en deux catégories : les produits critiques et les produits non critiques. Cette législation précise que les fabricants doivent fournir des mises à jour sécurisées tout au long du cycle de vie d'un produit, sans aucune exception. Comme nous l'avons vu, c'est plus facile à dire qu'à faire, en particulier pour les appareils industriels IoT qui ont une longue durée de vie.
Ouverture et collaboration pour relever les nouveaux défis en matière de sécurité
À l'adresse Keyfactor, nous comprenons le rôle essentiel de l'ouverture et de la collaboration. Lors de notre session "Ask Me Anything" sur EJBCA et SignServer, nos propriétaires de produits et nos architectes sont montés sur scène pour dialoguer avec le public et répondre à des questions sur les stratégies et les caractéristiques des produits. L'importance que nous accordons à l'engagement et à la collaboration avec notre communauté et notre écosystème technologique est essentielle pour conserver une longueur d'avance dans le paysage de la sécurité qui évolue rapidement.
Lors du meetup de cette année, nous avons introduit les points de démonstration de TECHSynergy, qui présentent des cas d'utilisation motivés par des intégrations au sein de l'écosystème technologique. Les cas d'utilisation comprenaient des mises à jour over-the-air sécurisées, la cybersécurité industrielle avec open62541, la signature avec des actions GitHub, PKI et des maillages de services Istio à plusieurs clusters, et bien plus encore. Ces démonstrations ont mis en évidence la manière dont nos solutions PKI et de signature s'intègrent de manière transparente dans le contexte plus large des pratiques modernes de cybersécurité.
Perspectives d'avenir
Alors que nous nous dirigeons vers un monde où l l'informatique quantique, agilité cryptographiqueet la sécurité de la chaîne d'approvisionnement sont plus que des mots à la mode, je suis encouragé par les progrès réalisés jusqu'à présent et par les conversations en cours. Nous sommes à l'aube de changements importants, et des événements tels que notre Community Tech Meetup sont essentiels pour définir la manière dont nous aborderons l'avenir de la cybersécurité. Ensemble, nous pouvons construire des systèmes résilients, adaptables et sûrs, aujourd'hui et demain.
Si vous n'avez pas pu assister à la réunion de cette année, je vous encourage vivement à participer aux événements et discussions à venir et à explorer nos ressources en ligne. Nous sommes ravis de vous compter parmi nous.
Si vous n'avez pas pu assister à la réunion de cette année, je vous encourage vivement à participer aux événements et discussions à venir et à explorer nos ressources en ligne. Nous sommes ravis de vous compter parmi nous.
Restez informé avec le bulletin d'information de la communauté Keyfactor .