Der Entwickler der Maschinen- und IoT-Identitätsplattform, Keyfactor, kündigt die Markteinführung von „Keyfactor Signum“ an, einer neuen Plattform für Code-Signing-as-a-Service, die es Entwicklern erleichtert, Code und Container auf sichere Weise zu signieren, ohne die Produktivität zu beeinträchtigen.
Unternehmen sehen sich heute zunehmend mit Angriffen auf die Wertschöpfungskette ihrer Software-Produkte konfrontiert. Die kryptographischen Signatur-Schlüssel, die zum Code-Signing verwendet werden, sind hochwertige Ziele für die Angreifer, um Schadsoftware zu signieren, die als vertrauenswürdige Software ausgegeben wird. Häufig führen schlecht implementierte Signierungsprozesse dazu, dass sensible Signaturschlüssel auf Build-Servern oder Entwickler-Workstations ungeschützt liegen. Gerade um Angriffe zu verhindern, ist es von entscheidender Bedeutung zu wissen, wer zu welchem Zeitpunkt im Prozess welchen Code signiert hat.
Keyfactor-Signum löst diese Herausforderungen, indem dem Sicherheitsverantwortlichen im Unternehmen zentral durch Hardware-Sicherheitsmodule gesicherte Code-Signaturschlüssel bereitgestellt werden, deren Zugriff über eine abgestimmte Zugriffsregelung geschützt ist, während der Entwickler weiterhin sein bestehendes Build-System nutzen kann, da die Signaturerstellung durch Keyfactor-Signum direkt integriert ist.
Das CA/Browser-Forum hat Anforderungen herausgegeben, die verlangen, dass private Schlüssel für EV (Extended Validation) Code-Signing-Zertifikate in einem konformen Hardware-Sicherheitsmodul erzeugt, gespeichert und gesichert werden müssen. „Die jüngsten Änderungen des CA/Browser-Forums, die in den nächsten 12 Monaten in Kraft treten sollen, verpflichten Unternehmen dazu, Code-Signing-Schlüssel in einem Hardware-Sicherheitsmodul zu erzeugen und zu speichern“, sagt Ben Dewberry, Product Manager Signing & Key Management bei Keyfactor. „Keyfactor-Signum macht es einfach, diese neuen Anforderungen zu erfüllen, ohne dass der gewohnte Entwicklungsprozess unterbrochen oder verlangsamt wird.“
Keyfactor-Signum ist eine SaaS-Lösung, die von Keyfactor in der Cloud gehostet und verwaltet wird. Zu den wichtigsten Funktionen und Vorteilen gehören:
- Direktintegration mit Tools: Keyfactor-Signum lässt sich über die KSP-Schnittstelle für Windows und die PKCS11-Schnittstelle für Linux direkt in gängige Signatur-Tools wie Microsoft SignTool, OpenSSL und Jarsigner integrieren und ist damit für Entwickler transparent.
- Sichere Schlüsselspeicherung: Sensible Signaturschlüssel werden in Hardware-Sicherheitsmodulen generiert und gespeichert, um ein Höchstmaß an Schutz zu gewährleisten und um die Anforderungen des CA/Browser-Forums gemäß Extended Validation Code-Signing-Zertifikaten zu erfüllen.
- Richtlinien und Verwaltung: Über eine benutzerfreundliche Webschnittstelle lässt sich problemlos einstellen, wer was, wann und wo signieren darf, wobei alle Signaturaktivitäten vollständig auditierbar sind.
- Authentifizierung: Nur autorisierte Entwickler und Administratoren können Code signieren und Signierrichtlinien über die Integration mit Identity Providern verwalten, so dass eine schnelle Implementierung im gesamten Unternehmen möglich ist.
#Keyfactor