Sulla mailing list del Security Area Advisory Goup (SAAG) dell’IETF è in corso un’interessante discussione nel thread “Algorithms/modes requested by users/customers” sulle difficoltà del processo di valutazione FIPS-140. O meglio, è in corso un’elencazione di problemi del processo di valutazione. Le difficoltà di questi processi sono molte e vale la pena di leggersi il thread, ma questa considerazione la trovo particolarmente interessante:”I have no experience with the purchasing side, but in my experience doing FIPS 140 validations, we often had to ask vendors to include hooks for testing that, from any objective standpoint, made the system less secure. And because the tests must be made on the same firmware/software as the as-shipped one (not in a special test/debug mode), that increased the attack surface of some of these devices greatly. I will fondly remember the validation where I found several exploitable buffer overflows in an HSM that had already passed two previous validations – all the holes were found in the hooks used for FIPS-140 testing.“
-
Qui sopra il lago di Soraga, Val di Fassa (Trentino, Italia)
Questo sito ospita pensieri e considerazioni personali, che possono o meno essere collegati alle mie competenze professionali. Per contatti professionali potete fare riferimento al mio profilo Linkedin o al sito di Partners4Innovation
Rapporto Clusit 2021
