Quelle journée remarquable que celle du Keyfactor Community Tech Meetup 2023, le 14 septembre ! En tant qu'hôte de cet événement fantastique, je suis ravie de vous présenter une récapitulation et un résumé des débats de la journée. Que vous ayez été présent avec nous à Stockholm ou que vous n'ayez pas pu venir, cet article de blog est votre ticket d'entrée pour les principaux enseignements et perspectives de notre deuxième rassemblement annuel de open-source passionnés de cryptographie, d'infrastructure à clé publique (PKI), de certificats et de signature numérique.
La rencontre technologique de la communauté Keyfactor a pour but de rester à la pointe des avancées technologiques. Cette année, l'événement s'est déroulé en direct de l'emblématique Epicenter de Stockholm, en Suède. Nous avons approfondi trois domaines clés : la cryptographie post-quantique (PQC) et le rôle vital de PKI, les certificats et la signature dans DevOps et IoT.
Cryptographie post-quantique
Notre voyage dans le monde de la cryptographie post-quantique a été mené par les experts Tomas Gustavsson, notre Chief PKI Officer, et David Hook, VP Software Engineering Crypto Workshop. Ces sessions ont fourni des informations précieuses sur le domaine de la préparation quantique.
État actuel de la cryptographie prête pour les quanta
Les progrès réalisés dans le domaine de la cryptographie post-quantique ont été l'un des points les plus importants. Les projets d'algorithmes PQC officiels basés sur Kyber, Dilithium et SPHINCS+ ont été publiés par le NIST. Le quatrième cycle de développement de la PQC, qui comprend BIKE, HQC et Classic McEliece, est toujours en cours, mais il s'est transformé en un choix entre BIKE et HQC, car Classic McEliece est en cours de normalisation par d'autres organisations (le NIST peut encore publier sa propre norme pour cet algorithme). Le lancement du cycle de signature avec diverses approches cryptographiques met en évidence la robustesse des travaux en cours.
Feuille de route de l'état de préparation quantique Keyfactor
Notre feuille de route pour la préparation quantique a été dévoilée, avec des échéances et des jalons. Les plans d'adoption des agences fédérales en 2023, la publication par le NIST des normes PQC en 2024 et la migration vers des fournisseurs conformes aux normes PQC d'ici 2025 dans le cadre de la CNSA 2.0 ont tous souligné l'urgence de la préparation. C'est pourquoi le passage à l'état de préparation quantique définit désormais une grande partie de notre feuille de route. La flexibilité et l'adaptabilité aux révisions potentielles de ces calendriers ont été soulignées.
Bouncy Castle Mises à jour et efforts
Notre événement a mis en lumière le rôle central des bibliothèques et protocoles cryptographiques clés dans EJBCA et SignServer. Les efforts de Bouncy Castlepour retirer certains algorithmes et incorporer des modifications de certificats pour la préparation quantique du consortium X9 et de l'IETF ont été discutés. L'adaptation des protocoles pour gérer les nouveaux algorithmes KEM (Key Encapsulation Mechanism) à la fois pour l'émission de certificats et dans les normes TLS a été soulevée comme étant cruciale pour assurer l'avenir des systèmes cryptographiques.
Session d'étalonnage des performances
La session unique de Tomas Gustavsson sur l'évaluation comparative de la cryptographie post-quantique a permis aux participants d'acquérir une compréhension pratique des algorithmes post-quantiques. La session a comparé les algorithmes classiques et quantiques en termes de taille de clé, de performance, de sécurité et de vitesse d'émission avec trois modules de sécurité hardware fournis pour les tests d'intégration EJBCA .
Assurer l'avenir de la IoT
L'Internet des objets (IoT) a transformé notre monde, mais il est primordial d'en assurer la sécurité. Andreas Philipp, Senior Business Development Manager, IoT, Guillaume Crinon, Directeur, IoT Business Strategy, et Ray Lillback, Directeur IoT Solution Architect nous ont guidés à travers les complexités de la cybersécurité IoT et le rôle de PKI.
IoT Défis liés au cycle de vie
IoTLa complexité du parcours de l'entreprise exige des solutions de cybersécurité robustes. Nous avons examiné les défis posés par la pression des coûts, les solutions de type "brownfield" et la nécessité d'intégrer des fonctions de sécurité.
PKI et les solutions basées sur l'IEEE 802.1 AR pour les appareils contraints IoT apparaissent comme une approche prometteuse. La norme IEEE 802.1 AR offre un cadre d'identité sécurisé pour les appareils, ce qui simplifie l'authentification des appareils.
L'accent a été mis sur le provisionnement sécurisé et fiable de l'identité IoT afin de permettre des connexions sécurisées. Cependant, cette tâche peut s'avérer difficile, en particulier dans les environnements industriels. Notre implémentation utilisant EJBCA est open-source et disponible sur GitHub pour que vous puissiez l'utiliser dès aujourd'hui.
Soutenir l'industrie
Keyfactor est l'un des membres fondateurs de l'Open Industrial PKI Service. Pour ceux qui opèrent dans le secteur industriel et qui ne sont pas prêts à établir leur propre infrastructure PKI pour les tests initiaux et le prototypage, ce service offre une alternative viable en proposant des certificats X.509 et des services PKI gratuits.
Gestion des certificats et pipelines CI/CD
Eric Mizell, Field CTO et VP, Solution Engineering et Sven Rajala, International PKI Man of Mystery ont fait la lumière sur le rôle critique de la gestion des certificats dans les environnements conteneurisés et les pipelines CI/CD.
Défis posés par les autorités de certification
Les organisations rencontrent souvent des difficultés pour obtenir des certificats auprès d'autorités de certification (AC), comme celles de Microsoft, en raison d'API limitées, de verrouillages technologiques et de problèmes d'évolutivité. Les autorités de certification ad hoc auto-signées posent des problèmes en termes de contrôle des politiques et de visibilité. Il est fondamental pour DevOps d'adhérer à des réglementations telles que NIS2 et aux exigences standard de l'InfoSec, car les cyberattaques deviennent de plus en plus sophistiquées.
EJBCA Intégration avec Kubernetes et Service Mesh
EJBCAL'intégration de Kubernetes et des environnements Service Mesh via l'API CSR et le cert-manager pour l'approvisionnement en informations d'identification X.509 a été mise en évidence, soulignant son rôle d'autorité de certification avec la capacité d'émettre des certificats éphémères et non éphémères.
EJBCAL'intégration de HashiCorp Vault pour les certificats éphémères et non éphémères (mTLS) via le plugin EJBCA Secrets permet aux organisations de standardiser sur un site moderne PKI tout en conservant le code et les flux de travail existants.
Rationalisation de la signature du code et des images de conteneurs. SignServerL'intégration d'EMC dans les pipelines CI/CD automatise la signature du code et des images de conteneurs, garantissant ainsi la confiance dans les environnements de pré-production et de production.
Posez-moi des questions sur EJBCA et SignServer
L'événement comprenait également des sessions interactives et une session "Ask Me Anything", au cours de laquelle les participants ont engagé des discussions et reçu des réponses en temps réel de la part de nos propriétaires de produits, de nos architectes software et de nos experts en la matière. Les sujets abordés concernaient la feuille de route des produits, les améliorations, les questions les plus fréquemment posées, ainsi qu'un aperçu général des dernières avancées dans le domaine de la signature et de PKI .
Merci à Roman Cinkais de 3Key et à Daniel Stenberg, fondateur et développeur principal de cURL et libcurl.
Nous avions deux intervenants extérieurs qui ont été très bien accueillis. Lors de sa présentation, Roman a parlé du modèle de maturité PKI du Consortium PKI , qui permet aux entreprises de comparer leurs implémentations de PKI et de mesurer leurs progrès. Le public technique a apprécié la présentation de Daniel sur Quic. Nouveau protocole de transport pour l'internet, Quic échange TCP et TLS et vise à améliorer les performances et la sécurité.
Conclusion et enregistrements
Le Keyfactor Community Tech Meetup 2023 a été un succès retentissant, réunissant des experts et des passionnés pour explorer les frontières de la technologie. Nous avons entrevu l'avenir de la cryptographie post-quantique, fortifié la sécurité de IoT et appris l'importance d'une gestion robuste des certificats dans DevOps. Le voyage continue, et l'adoption de ces technologies n'est pas seulement une option, c'est une nécessité dans notre paysage technologique en constante évolution. Pour ceux d'entre vous qui nous ont rejoints à Stockholm, merci d'avoir participé à cet événement remarquable !
Abonnez-vous à notre lettre d'information pour connaître la date de disponibilité des ateliers enregistrés et d'autres nouvelles de la Communauté, y compris les nouvelles versions de produits et les vidéos tutorielles.
Software le téléchargement, la documentation et toutes les autres ressources sont accessibles à partir de :
A l'année prochaine !
