ElevenPaths y Microsoft integran, gracias a la tecnología Gradiant, Azure Key Vault con la plataforma SealSign. El acuerdo proporciona un servicio de firma digital en servidor y custodia de certificados basado en HSM con altos niveles de seguridad, escalabilidad y rendimiento.
El uso de hardware criptográfico seguro o HSM (Hardware Secure Module) proporciona un mecanismo muy adecuado para la custodia y protección de claves, aunque su coste y complejidad de instalación y configuración dificulta su adopción. Por ese motivo surgen soluciones as a service como Azure Key Vault, que ofrece la posibilidad de usar los HSMs como un servicio más dentro de la nube pública.
SealSign® es una plataforma empresarial, escalable, modular y completa de firma de documentos, firma biométrica, custodia segura de certificados digitales y archivo a largo plazo de documentos electrónicos desarrollada por ElevenPaths. Esta plataforma permite configurar diferentes proveedores criptográficos mediante una interfaz estándar PKCS#11. Que facilita el acceso seguro a certificados y claves guardadas en HSMs y así, poder realizar firmas sin comprometer la seguridad y privacidad de los datos sensibles.
Azure Key Vault dispone de una API REST (Representational State Transfer) a través de la cual es posible realizar operaciones desde aplicaciones, pero dificulta su integración como proveedor criptográfico donde típicamente se utilizan protocolos de más bajo nivel, como PKCS#11. En este sentido, PKCS#11 es un interfaz de dispositivo criptográfico (Cryptographic Token Interface o ‘cryptoki’) que define una API genérica de acceso a dispositivos (típicamente HSM). La API de PKCS#11 permite a las aplicaciones acceder a “secretos” guardados en los dispositivos de forma segura, por ejemplo, para firma de documentos.
Por este motivo, Gradiant ha desarrollado el conector BlackICE Connect, basado en el estándar PKCS#11, que ofrece una librería que permite integrar el servicio de Azure Key Vault como un proveedor criptográfico en SealSign de forma que se habilita la posibilidad de realizar firmas de documentos en aplicaciones, así como la custodia de certificados digitales de forma segura haciendo uso del servicio de Azure Key Vault. Esta solución fue presentada en el Security Innovation Day 2017, evento de innovación en ciberseguridad organizado por ElevenPaths.
Esto supone un ahorro importante de costes, puesto que ya no es necesario adquirir ni mantener HSMs, tan solo pagar por el uso que se hace de ellos (típicamente en base al número de claves almacenadas y al número de operaciones realizadas con ellas).
El conector PKCS#11 – Azure Key Vault, simula un entorno de dispositivo criptográfico que expone una interfaz estándar PKCS#11 a la aplicación que la usa (por ejemplo, SealSign) y que se encarga internamente de transformar las llamadas a esta interfaz a llamadas al servicio REST de Azure Key Vault, manteniendo en todo momento (mediante un slot virtual) las estructuras de datos estandarizadas y la coherencia en las comunicaciones para que Azure Key Vault se comporte como un proveedor criptográfico de forma transparente para la aplicación.
Acerca de ElevenPaths
En ElevenPaths, -la unidad de ciberseguridad de Telefónica-, creemos en la idea de desafiar el estado actual de la seguridad, característica que debe estar siempre presente en la tecnología. Nos replanteamos continuamente la relación entre la seguridad y las personas con el objetivo de crear productos innovadores capaces de transformar el concepto de seguridad y de esta manera, ir un paso por delante de nuestros atacantes, cada vez más presentes en nuestra vida digital.
Más información: elevenpaths.com @ElevenPaths blog.elevenpaths.com
Acerca de Microsoft
Microsoft (Nasdaq “MSFT” @microsoft) es la compañía líder en plataformas y productividad para el mundo “mobile-first, cloud-first”, y su misión es ayudar a cada persona y a cada organización en el planeta, a hacer más en su día a día.
Más información: microsoft.com