J 2024

sec-certs: Examining the security certification practice for better vulnerability mitigation

JANOVSKÝ, Adam, Ján JANČÁR, Petr ŠVENDA, Lukasz Michal CHMIELEWSKI, Jiří MICHALÍK et. al.

Základní údaje

Originální název

sec-certs: Examining the security certification practice for better vulnerability mitigation

Autoři

JANOVSKÝ, Adam (203 Česká republika, garant, domácí), Ján JANČÁR (703 Slovensko, domácí), Petr ŠVENDA (203 Česká republika, domácí), Lukasz Michal CHMIELEWSKI (616 Polsko, domácí), Jiří MICHALÍK (203 Česká republika, domácí) a Václav MATYÁŠ (203 Česká republika, domácí)

Vydání

Computers & Security, 2024, 0167-4048

Další údaje

Jazyk

angličtina

Typ výsledku

Článek v odborném periodiku

Obor

10201 Computer sciences, information science, bioinformatics

Stát vydavatele

Velká Británie a Severní Irsko

Utajení

není předmětem státního či obchodního tajemství

Odkazy

Impakt faktor

Impact factor: 5.600 v roce 2022

Organizační jednotka

Fakulta informatiky

DOI

UT WoS

001248232600001

Klíčová slova anglicky

Security certification; Common Criteria; Vulnerability assessment; Data analysis; Smartcards

Příznaky

Mezinárodní význam, Recenzováno
Změněno: 5. 9. 2024 15:37, RNDr. Pavel Šmerk, Ph.D.

Anotace

V originále

Products certified under security certification frameworks such as Common Criteria undergo significant scrutiny during the costly certification process. Yet, critical vulnerabilities, including private key recovery (ROCA, Minerva, TPM-Fail...), get discovered in certified products with high assurance levels. Furthermore, assessing which certified products are impacted by such vulnerabilities is complicated due to the large amount of unstructured certification-related data and unclear relationships between the certified products. To address these problems, we conducted a large-scale automated analysis of Common Criteria certificates. We trained unsupervised models to learn which vulnerabilities from NIST’s National Vulnerability Database impact existing certified products and how certified products reference each other. Our tooling automates the analysis of tens of thousands of certification-related documents, extracting machine-readable features where manual analysis is unattainable. Further, we identify the security requirements that are associated with products being affected by fewer and less severe vulnerabilities. This indicates which aspects of certification correlate with higher security. We demonstrate how our tool can be used for better vulnerability mitigation on four case studies of known, high-profile vulnerabilities. All tools and continuously updated results are available at https://sec-certs.org.

Návaznosti

MUNI/A/1586/2023, interní kód MU
Název: Aplikovaný výzkum na FI: Forenzní aspekty kritických infrastruktur, aplikovaná kryptografie, kyberbezpečnostní cvičení, algoritmy plánování v logistice a pro zpracování dat z fyzikálních sensorů
Investor: Masarykova univerzita, Aplikovaný výzkum na FI: Forenzní aspekty kritických infrastruktur, aplikovaná kryptografie, kyberbezpečnostní cvičení, algoritmy plánování v logistice a pro zpracování dat z fyzikálních sensorů
MUNI/IGA/1046/2021, interní kód MU
Název: Automated text analysis of security certification reports
Investor: Masarykova univerzita, Automated text analysis of security certification reports
VJ02010010, projekt VaV
Název: Nástroje pro verifikaci bezpečnosti kryptografických zařízení s využitím AI (Akronym: AI-SecTools)
Investor: Ministerstvo vnitra ČR, Tools for AI-enhanced Security Verification of Cryptographic Devices
101087529, interní kód MU
Název: Cyber-security Excellence Hub in Estonia and South Moravia (CHESS)
Investor: Evropská unie, Cyber-security Excellence Hub in Estonia and South Moravia (CHESS), Rozšiřování účasti a posílení ERA
90254, velká výzkumná infrastruktura
Název: e-INFRA CZ II