De veiligheidscertificeringsrapporten kunnen lang zijn, maar zijn ook een reeks openbaar beschikbare gegevens over anderszins door eigendomsrechten beschermde apparaten en andere producten die anders alleen in het kader van de NDA beschikbaar zijn. Hoewel het gemakkelijk is één certificaat te downloaden en te lezen, is de redenering over de kenmerken van het hele ecosysteem nu met meer dan tienduizend gecertificeerde apparaten op basis van door de mens geschreven documenten verschillend. Zijn er waarneembare systematische verschillen tussen de gemeenschappelijke criteria en de FIPS140-2-certificaten? Kan ik snel vinden als mijn apparaat een gecertificeerd onderdeel gebruikt dat onlangs kwetsbaar is bevonden? En vooral: kunnen we meten en kwantificeren of het hele proces de veiligheid van de gecertificeerde producten daadwerkelijk verhoogt?
Het webinar presenteerde een op gegevens gebaseerd inzicht in certificeringsecosystemen met een instrument dat is ontwikkeld in het kader van het CyberSec4Europe-project (SecCert).
Petr Švenda is buitengewoon hoogleraar aan de Masaryk University, Tsjechië. Hij droomt over een opener en transparanter wereld van cryptografische smartcards. Vervolgens probeert men deze droom waar te maken door open instrumenten te ontwikkelen voor de beoordeling van de beveiliging van de uitvoering, waarbij soms enkele kwetsbaarheden worden gevonden in gecertificeerde apparaten zoals ROCA (CVE-2017-15361) of Minerva (CVE-2019-15809).