Sprawozdania z certyfikacji bezpieczeństwa mogą być długie, ale są również źródłem publicznie dostępnych danych na temat urządzeń zastrzeżonych w inny sposób i innych produktów dostępnych jedynie w ramach NDA. Chociaż pobieranie i odczytywanie jednego certyfikatu jest łatwe, rozumowanie na temat cech całego ekosystemu, w którym ponad dziesięć tysięcy certyfikowanych urządzeń opiera się na dokumentach sporządzonych przez człowieka, jest inne. Czy istnieją możliwe do zaobserwowania systematyczne różnice między wspólnymi kryteriami a certyfikatami FIPS140-2? Czy mogę szybko znaleźć się, jeżeli moje urządzenie używa niedawno certyfikowanego elementu uznanego za podatny na zagrożenia? A co najważniejsze, czy możemy zmierzyć i określić ilościowo, czy cały proces faktycznie zwiększa bezpieczeństwo certyfikowanych produktów?
Podczas webinarium zaprezentowano oparty na danych wgląd w ekosystemy certyfikacji za pomocą narzędzia opracowanego w ramach projektu CyberSec4Europe (SecCert).
Petr Švenda jest profesorem nadzwyczajnym na Uniwersytecie Masaryka w Republice Czeskiej. Marzy o bardziej otwartym i przejrzystym świecie kryptograficznych kart inteligentnych. Następnie próbuje urzeczywistnić to marzenie, opracowując otwarte narzędzia oceny bezpieczeństwa wdrażania, czasami wykrywając pewne luki w certyfikowanych urządzeniach, takich jak ROCA (CVE-2017-15361) czy Minerva (CVE-2019-15809).