Los informes de certificación de la seguridad pueden ser largos, pero también constituyen un trozo de datos públicos sobre dispositivos sujetos a derechos de propiedad y otros productos que, de otro modo, solo están disponibles en el marco de la NDA. Aunque la descarga y la lectura de un certificado único son fáciles, el razonamiento sobre las características del ecosistema en su conjunto, con más de diez mil dispositivos certificados basados en documentos escritos por personas, es diferente. ¿Existen diferencias sistemáticas observables entre los criterios comunes y los certificados FIPS140-2? ¿Puedo encontrar rápidamente si mi dispositivo utiliza un componente certificado recientemente considerado vulnerable? Y lo que es más importante, ¿podemos medir y cuantificar si todo el proceso está aumentando realmente la seguridad de los productos que se certifican?
El seminario web presentó una visión basada en datos sobre los ecosistemas de certificación con una herramienta desarrollada en el proyecto CyberSec4Europe (SecCert).
Petr Švenda es profesor asociado de la Universidad Masaryk (República Checa). Sueña con un mundo más abierto y transparente de tarjetas inteligentes criptográficas. A continuación, intenta hacer realidad este sueño mediante el desarrollo de herramientas abiertas para evaluar la seguridad de la aplicación, detectando ocasionalmente algunas vulnerabilidades en dispositivos certificados como ROCA (CVE-2017-15361) o Minerva (CVE-2019-15809).