La società svedese Primekey oggi vende con successo soluzioni software e hardware PKI a clienti di tutto il mondo. Tuttavia, la storia del produttore è iniziata con un progetto open source che i due fondatori sostengono ancora oggi.
La carriera informatica di Thomas Gustavsson è iniziata nel lato oscuro. Da ragazzo, ha cercato di entrare negli account dei suoi avversari in vari giochi per computer. Più tardi, ha cambiato fronte e si è concentrato sulla crittografia mentre lavorava come assistente di ricerca presso il Dipartimento di Informatica del Royal Institute of Technology di Stoccolma. Affascinato dall'argomento, ha trasformato la sua passione in una professione e ha fondato il fornitore svedese di PKI Primekey nel 2020 e lo dirige ancora come CTO.
Il core business di Primekey sono le infrastrutture a chiave pubblica (PKI). L'azienda con sede a Stoccolma offre varie soluzioni software e hardware per questo concetto tecnologico, che protegge la comunicazione attraverso le reti per mezzo di certificati digitali. Il portafoglio comprende la PKI Appliance e il server rack Primekey SEE, con cui si possono implementare soluzioni di PKI e firma digitale. Questi prodotti sono stati sviluppati ad Aachen, dove Primekey ha fondato una filiale nel 2012. Gli svedesi forniscono anche soluzioni software pure come EJBCA Enterprise e SignServer, che sono disponibili tramite i marketplace di AWS e Microsoft Azure, tra gli altri.
Il progetto open source EJBCA
La tecnologia di base di Primekey è la Enterprise JavaBeans Certificate Authority (EJBCA). Il software è open source, e per una buona ragione. L'idea originale è nata nel 1994, quando il Massachusetts Institute of Technology (MIT) ha pubblicato uno standard per PKI con una directory centrale per creare, memorizzare e distribuire firme digitali. Per Gustavsson era chiaro: a lungo termine non sarebbe stato possibile avere una sola autorità di certificazione per la PKI. Secondo lui, la tecnologia dovrebbe quindi essere resa accessibile a tutti.
Questa visione ha motivato l'informatico a creare il progetto open source EJBCA nel 2000 insieme al suo compagno di studi Admir Abdurahmanovic. La prima versione del software PKI e dell'autorità di certificazione è apparsa nel 2001. Infine, un anno dopo, i due fondarono Primekey per distribuire il loro prodotto commercialmente da allora in poi.
La concorrenza in casa
Anche se Primekey sviluppa soluzioni e servizi commerciali basati su EJBCA, l'applicazione stessa è ancora liberamente disponibile come open source, e i due fondatori rimangono attivi nella comunità open source. Andreas Philipp, Business Development Manager di Primekey, vede il più grande vantaggio nel fatto che il codice sorgente del software è visibile ai clienti e possono analizzarlo da soli. "Questo significa che i clienti possono essere sicuri che non abbiamo costruito nessuna backdoor". Il lato negativo della visione originale di una PKI liberamente accessibile, tuttavia, è che come open source, EJBCA diventa così un prodotto concorrente di Primekey stesso. Questo perché qualsiasi azienda può utilizzare il codice open source e sviluppare i propri servizi su questa base.
Nonostante, è chiaro al produttore che continuerà ad attenersi a EJBCA come progetto open source. "L'apertura è una parte essenziale della nostra cultura aziendale. Fa parte del nostro DNA. Abbiamo iniziato nel 2001 con il primo rilascio della PKI open source EJBCA per permettere l'accesso a questa tecnologia crittografica di base a tutti. Vogliamo che rimanga così", sottolinea Philipp. Perché l'open source è un'importante alternativa alle applicazioni commerciali e alle app che non offrono alcuna visione del codice del programma. Philipp è sicuro che l'open source continuerà ad avere grande importanza in futuro, poiché la trasparenza porta vantaggi significativi dal punto di vista della sicurezza, della riservatezza e dell'integrità.
C'è molto in corso nel mercato PKI
Oltre a Primekey, ci sono naturalmente altri fornitori PKI. La progettazione e la costruzione di una PKI, così come altri servizi e soluzioni, per esempio per la richiesta e la gestione di certificati digitali, sono offerti da, tra gli altri:
- Sefirot
- Exceet
- Cryptovision
- D-Trust
- T-Systems
- Secunet
- Nexus
- Thales
- DigiCert
PKI ha bisogno di know-how
La cooperazione con il canale ICT sarà anche di grande importanza per gli svedesi in futuro. L'obiettivo del produttore è di vendere il 100 per cento indirettamente. Ma a causa della complessità e della competenza richiesta nella crittografia applicata e nelle diverse aree di applicazione della PKI, sono partner molto speciali che Primekey sta cercando per l'ecosistema del canale. Questo perché l'azienda si vede solo come un fornitore di componenti software e hardware e fornisce una piattaforma su cui i partner possono costruire servizi a valore aggiunto per i clienti finali. Questo significa che i partner si assumono la progettazione, l'implementazione e la manutenzione della PKI da soli. Primekey inoltre esternalizza per lo più il supporto di primo e secondo livello ai partner. Questo include la manutenzione delle misure di sicurezza incluse nella PKI, come il firewall o il network slicing. "Una PKI richiede un'enorme quantità di know-how. Richiede partner che hanno una competenza di sicurezza molto ampia", spiega Philipp.
Per questo l'azienda sta cercando fornitori di servizi che vogliano specializzarsi in PKI come integratori e consulenti. "Naturalmente, i partner guadagnano anche dagli sconti sulla rivendita pura. Ma per esperienza, fanno la maggior parte del loro fatturato con la consulenza e i servizi gestiti". Il classico tra i servizi è il monitoraggio dell'infrastruttura da parte dei rivenditori che la collegano a un SOC. Il programma di canale del produttore include un corso di formazione di tre giorni come parte del processo di onboarding. In questo, i partner sono formati sulla base dei prodotti Primekey per PKI. Inoltre, ci sono ulteriori corsi di qualificazione che servono a specializzarsi in determinati settori.
In tutto il mondo, Primekey lavora già con 20 partner commerciali, 15 dei quali nella regione DACH. Queste includono le società di sviluppo e di consulenza Achelos e Cryptas e la società di servizi NTT. Inoltre, ci sono 18 partner tecnologici, tra cui Yubico, Red Hat e Infineon. Nonostante gli sforzi di Primekey per espandere il canale, non ci sono piani a lungo termine per lavorare con i distributori.