Die Berichte über die Sicherheitszertifizierung mögen lang sein, stellen aber auch eine Taue öffentlich zugänglicher Daten über andere proprietäre Geräte und andere Produkte dar, die ansonsten nur im Rahmen der NDA verfügbar sind. Während das Herunterladen und Lesen eines einzigen Zertifikats einfach ist, ist die Argumentation über die Merkmale des gesamten Ökosystems mit mehr als zehntausend zertifizierten Geräten, die auf vom Menschen verfassten Dokumenten beruhen, unterschiedlich. Gibt es erkennbare systematische Unterschiede zwischen den gemeinsamen Kriterien und FIPS140-2-Zertifikaten? Kann ich schnell feststellen, ob mein Gerät eine zertifizierte Komponente verwendet, die kürzlich als gefährdet eingestuft wurde? Und vor allem können wir messen und quantifizieren, ob der gesamte Prozess tatsächlich die Sicherheit der zertifizierten Produkte erhöht?
Das Webinar vermittelte einen datengestützten Einblick in Zertifizierungsökosysteme mit einem Instrument, das im Rahmen des Projekts CyberSec4Europe (SecCert) entwickelt wurde.
Petr Švenda ist außerordentlicher Professor an der Universität Masaryk, Tschechische Republik. Er träumt von einer offeneren und transparenteren Welt kryptografischer Chipkarten. Danach wird versucht, diesen Traum wahr zu machen, indem offene Instrumente für die Bewertung der Umsetzungssicherheit entwickelt werden, wobei gelegentlich einige Schwachstellen in zertifizierten Geräten wie ROCA (CVE-2017-15361) oder Minerva (CVE-2019-15809) gefunden werden.