Rapporterna om säkerhetscertifiering kan vara långa men utgör också en kärna av offentligt tillgängliga uppgifter om i övrigt äganderättsligt skyddade enheter och andra produkter som annars endast finns tillgängliga inom ramen för kärnavvecklingsbyrån. Det är lätt att ladda ner och läsa ett enda intyg, men resonemanget om hela ekosystemets egenskaper med mer än tio tusen certifierade enheter baserade på mänskligt skrivna dokument skiljer sig åt. Finns det observerbara systematiska skillnader mellan de gemensamma kriterierna och FIPS140–2-certifikaten? Kan jag snabbt hitta om min enhet använder en certifierad komponent som nyligen har hittats vara sårbar? Och viktigast av allt: Kan vi mäta och kvantifiera om hela processen faktiskt ökar säkerheten för de produkter som certifieras?
Webbinariet presenterade en databaserad inblick i certifieringsekosystem med ett verktyg som utvecklats inom ramen för projektet CyberSec4Europe (SecCert).
Petr Švenda är biträdande professor vid Masaryk-universitetet i Tjeckien. Han drömmer om en öppnare och mer transparent värld med kryptografiska smartkort. Försök sedan att göra denna dröm sann genom att utveckla öppna verktyg för bedömning av genomförandesäkerhet och ibland hitta vissa sårbarheter i certifierade anordningar som ROCA (CVE-2017–15361) eller Minerva (CVE-2019–15809).