Sikkerhedscertificeringsrapporterne kan være lange, men er også en del af offentligt tilgængelige data om ellers ophavsretligt beskyttede enheder og andre produkter, der ellers kun er tilgængelige under NDA. Selv om det er let at downloade og læse et enkelt certifikat, er begrundelsen for hele økosystemets egenskaber nu med mere end 10 000 certificerede enheder baseret på menneskeskrevne dokumenter anderledes. Er der observerbare systematiske forskelle mellem de fælles kriterier og FIPS140-2-certifikaterne? Kan jeg hurtigt finde ud af, om min enhed anvender en certificeret komponent, der for nylig er fundet sårbar? Og vigtigst af alt, kan vi måle og kvantificere, om hele processen rent faktisk øger sikkerheden for de produkter, der certificeres?
Webinaret præsenterede et databaseret indblik i certificeringsøkosystemer med et værktøj, der er udviklet i CyberSec4Europe-projektet (SecCert).
Petr Švenda er lektor ved Masaryk-universitetet i Tjekkiet. Han drømmer om en mere åben og gennemsigtig verden med kryptografiske smartkort. Derefter forsøger man at gøre denne drøm sand ved at udvikle åbne værktøjer til vurdering af implementeringssikkerhed og undertiden finde visse sårbarheder i certificeret udstyr som ROCA (CVE-2017-15361) eller Minerva (CVE-2019-15809).