Analysis of NIST FIPS 140-2 security certificates – Bc. Stanislav Boboň

Abstract:

Táto práca poskytuje prehľad najpoužívanejších bezpečnostných štandardov - Common Criteria (CC) a Federal Information Processing Standards (FIPS), kladúc väčší dôraz na FIPS 140-2. V práci popisujeme návrh a implementáciu automatického nástroja využívajúceho regulárne výrazy na extrakciu informácií z dokumentov štandardu FIPS 140-2 týkajúcich sa bezpečnosti. Obzvlášť sa zameriavame na extrahovanie referencí iných validovaných produktov. Extrahované informácie potom analyzujeme a vytvoríme orientovaný graf závislostí medzi validovanými produktami. Keď sa odhalí bezpečnostná zraniteľnosť vo validovanom produkte, vytvorený nástroj umožní rýchlo nájsť všetky validované produkty referencujúce zraniteľný produkt a takto identifikovať všetky produkty zasiahnuté bezpečnostnou zraniteľnosťou. …moreless

Abstract:

This thesis provides an overview of the world’s most used security standards – Common Criteria (CC) and Federal Information Processing Standards (FIPS) with a greater focus on FIPS 140-2. We describe the design and implementation of an automated tool capable of extracting information from FIPS 140-2 security-related documents using regular expressions, mainly focusing on extracting references of other validated products. The extracted information is then analyzed, and a directed graph of dependencies between validated products is created. When a security vulnerability is discovered in a validated product, the automated tool can be used to quickly find all validated products referencing the vulnerable product, identifying the products affected by the security vulnerability. …moreless