Kdo certifikuje bezpečnostní produkty našeho typu a jaké byly požadavky v minulosti? Jaké procesorové architektury se běžně používají v bezpečnostních certifikacích u daných produktů, které nás zajímají? Jak si vedeme ve srovnání s konkurencí a jejími certifikovanými produkty? Jak dlouho trvá bezpečnostní hodnocení v určitých laboratořích, u určitých typů produktů atd.? Jsme ve srovnání s konkurencí podcertifikovaní nebo přecertifikovaní? Co víme o používání kryptografických knihoven v certifikovaném softwaru a zařízeních? Jaké další informace můžeme zjistit, aniž bychom museli podepisovat dohodu o mlčenlivosti?

Společná kritéria (Common Criteria – CC) a FIPS 140 pomáhají uživatelům ve výběru bezpečných produktů. Existuje však značná informační propast, pokud jde o konkrétní bezpečnostní/kryptografické techniky používané v těchto certifikovaných produktech.

Mezi veřejně dostupnými formálními certifikačními dokumenty a skutečným složením produktového ekosystému existuje učitá propast. Náš nástroj sec-certs umožňuje rozsáhlou analýzu založenou na datech, která tento nedostatek řeší a také odpovídá na otázky, jako byly ty výše uvedené. sec-certs (https://sec-certs.org/) systematicky analyzuje a podporuje analýzy veřejně dostupných dokumentů souvisejících s certifikací podle CC, EUCC a FIPS 140.

Naše práce přesahuje rámec ad hoc zjišťování informací tím, že využívá certifikační dokumenty jako podstatný zdroj dat k vytvoření empirických modelů daných ekosystémů (např. kryptografické knihovny, produkty využívající určité dílčí komponenty) v rámci produktů s bezpečnostní certifikací. Můžeme například ukázat silnou závislost na malém počtu kryptografických knihoven, což naznačuje možnou monokulturu, kde by chyba v jedné široce používané knihovně mohla mít neúměrně velký vliv na celou certifikovanou oblast. Výsledky naznačují systémový problém: současný certifikační proces nezajišťuje transparentnost dodavatelského řetězce, což ztěžuje účinné řízení rizik. Naše práce stanoví základní kvantitativní referenční hodnotu, která podtrhuje nutnost komplexnějšího a organizovanějšího vykazování komponent v bezpečnostních certifikacích.

Vašek Matyáš je profesorem a vedoucím Centra pro výzkum kryptografie a bezpečnosti Fakulty informatiky Masarykovy univerzity, také členem Rady vlády pro výzkum, vývoj a inovace. Věnuje se aplikované kryptografii, bezpečnosti IT a ochraně informačního soukromí – v těchto oborech publikoval přes 200 publikací, včetně několika knih. Dříve působil mj. v Cybernetica, Red Hat Czech, na Carnegieho-Mellonově univerzitě, na Harvardově univerzitě, v Microsoft Research Cambridge, University College Dublin, ecom-monitor.com, v laboratoři Ubilab u UBS AG, u londýnské certifikační autority Uptime Commerce, také jako Royal Society Postdoctoral Fellow na University of Cambridge. Podílel se i na vývoji Common Criteria a práci v ISO/IEC JTC1 SC27, je členem Association for Computing Machinery (ACM).

Petr Švenda je bezpečnostní výzkumník, učitel a docent Masarykovy University. Poprvé se potkal s doménou bezpečnostních certifikací v roce 2002 během prací na analýze útoků postranními kanály vůči kryptografickým zařízením - a lásku k kryptografickým čipovkám si uchoval dodnes. Dokumenty z bezpečnostních certifikací dle Common Criteria a FIPS 140 se ukázali být klíčovým zdrojem informací během mapování dopadů a zodpovědného oznamování zranitelností ROCA a Minerva, které jeho tým v certifikovaných čipovkách nalezl. Kdyby jenom byly tyto dokumenty už tehdy automaticky zpracovávatelné.