Le relazioni sulla certificazione di sicurezza potrebbero essere lunghe, ma rappresentano anche dati pubblicamente disponibili su dispositivi altrimenti proprietari e altri prodotti altrimenti disponibili solo nell'ambito della NDA. Mentre lo scaricamento e la lettura di un unico certificato sono facili, il ragionamento sulle caratteristiche dell'intero ecosistema, con più di 10 000 dispositivi certificati basati su documenti scritti dall'uomo, è diverso. Esistono differenze sistematiche osservabili tra i criteri comuni e i certificati FIPS140-2? Posso trovare rapidamente se il mio dispositivo utilizza un componente certificato recentemente trovato vulnerabile? E soprattutto, possiamo misurare e quantificare se l'intero processo aumenta effettivamente la sicurezza dei prodotti certificati?
Il webinar ha presentato una visione basata sui dati sugli ecosistemi di certificazione con uno strumento sviluppato nell'ambito del progetto CyberSec4Europe (SecCert).
Petr Švenda è professore associato presso l'Università Masaryk, Repubblica ceca. Sogna un mondo più aperto e trasparente di smart card crittografiche. Cerca poi di realizzare questo sogno sviluppando strumenti aperti per la valutazione della sicurezza dell'attuazione, individuando occasionalmente alcune vulnerabilità in dispositivi certificati come ROCA (CVE-2017-15361) o Minerva (CVE-2019-15809).