Jak časté je použití knihovny OpenSSL v certifikovaných produktech? Kdo ji využívá a jak se její prevalence mění v čase? Jaké verze se objevují? A co všechno lze zjistit, aniž bychom museli podepisovat dohody o mlčenlivosti?
Přednáška se zaměří na dva klíčové bezpečnostní certifikační standardy — Common Criteria a FIPS 140. Na příkladu veřejně dostupné knihovny OpenSSL ukážeme, kolik cenných informací lze získat z veřejně publikovaných dat.
Prezentovaná analýza vychází z výsledků získaných pomocí nástroje sec-certs toola jeho otevřeného datasetu vytvořeného z dokumentace certifikovaných produktů. Cílem projektu sec-certs je stát se ústřední platformou pro studium ekosystému certifikace Common Criteria a FIPS 140. Shromažďujeme a anotujeme certifikační data, díky čemuž je možné:
• jednotně vyhledávat certifikace,
• zkoumat zranitelnosti a analyzovat trendy,
• porovnávat produkty a výrobce,
• sledovat změny certifikátů,
• a provádět další analýzy spojené s certifikovanými produkty.
Nástroj sec-certs je pokračujícím výzkumným úsilím Centra pro výzkum kryptografie a bezpečnosti, Masarykovy univerzity, podporovaným mimo jiné společností Red Hat Research a Evropskou unií v rámci grantové dohody č. 101087529: Cyber Security Excellence Hub in Estonia and South Moravia.