Os relatórios de certificação de segurança podem ser longos, mas são também um conjunto de dados publicamente disponíveis sobre dispositivos exclusivos e outros produtos de outro modo disponíveis apenas no âmbito da NDA. Embora o descarregamento e a leitura de um único certificado sejam fáceis, o raciocínio sobre as características de todo o ecossistema, com mais de dez mil dispositivos certificados baseados em documentos escritos pelo ser humano, é diferente. Existem diferenças sistemáticas observáveis entre os critérios comuns e os certificados FIPS140-2? Posso encontrar rapidamente se o meu dispositivo utiliza um componente certificado recentemente considerado vulnerável? E, mais importante ainda, podemos medir e quantificar se todo o processo está efetivamente a aumentar a segurança dos produtos certificados?
O webinário apresentou uma visão baseada em dados sobre os ecossistemas de certificação com uma ferramenta desenvolvida no âmbito do projeto CyberSec4Europe (SecCert).
Petr Švenda é professor associado na Universidade Masaryk, República Checa. Sonha sobre um mundo mais aberto e transparente de cartões inteligentes criptográficos. Em seguida, tenta concretizar este sonho através do desenvolvimento de ferramentas abertas para a avaliação da segurança da aplicação, identificando ocasionalmente algumas vulnerabilidades em dispositivos certificados como ROCA (CVE-2017-15361) ou Minerva (CVE-2019-15809).