Turvalisuse sertifitseerimise aruanded võivad olla pikad, kuid need sisaldavad ka avalikult kättesaadavaid andmeid muidu omandiõigusega kaitstud seadmete ja muude toodete kohta, mis on muidu kättesaadavad üksnes NDA raames. Kuigi ühe sertifikaadi allalaadimine ja lugemine on lihtne, on põhjendused kogu ökosüsteemi omaduste kohta, mis hõlmavad inimkirjutatud dokumentidel põhinevaid üle kümne tuhande sertifitseeritud seadme, erinevad. Kas ühiste kriteeriumide ja FIPS 140–2 sertifikaatide vahel on jälgitavaid süsteemseid erinevusi? Kas ma saan kiiresti leida, kui minu seadmes kasutatakse hiljuti haavatavaks tunnistatud sertifitseeritud komponenti? Ja mis kõige olulisem, kas me saame mõõta ja kvantifitseerida, kas kogu protsess tegelikult suurendab sertifitseeritavate toodete turvalisust?
Veebiseminaril tutvustati sertifitseerimisökosüsteeme andmepõhiselt, kasutades projekti CyberSec4Europe (SecCert) raames välja töötatud vahendit.
Petr Švenda on Tšehhi Vabariigi Masaryki Ülikooli dotsent. Ta unistab avatumast ja läbipaistvamast krüptograafiliste kiipkaartide maailmast. Seejärel püüab see unistus tõeseks muuta, töötades välja avatud vahendid rakendamise turvalisuse hindamiseks, avastades mõnikord mõningaid nõrku kohti sellistes sertifitseeritud seadmetes nagu ROCA (CVE-2017–15361) või Minerva (CVE-2019–15809).