論文の概要: sec-certs: Examining the security certification practice for better vulnerability mitigation
- arxiv url: http://arxiv.org/abs/2311.17603v1
- Date: Wed, 29 Nov 2023 12:55:16 GMT
- ステータス: 処理完了
- システム内更新日: 2024-03-18 13:44:50.291988
- Title: sec-certs: Examining the security certification practice for better vulnerability mitigation
- Title(参考訳): sec-certs: より優れた脆弱性軽減のためのセキュリティ認定プラクティスの検討
- Authors: Adam Janovsky, Jan Jancar, Petr Svenda, Łukasz Chmielewski, Jiri Michalik, Vashek Matyas,
- Abstract要約: 致命的な脆弱性は保証レベルの高い認定製品で発見される。
このような脆弱性によって認定された製品が影響を受けるかを評価するのは、非構造化の認定関連データが大量にあるため、複雑である。
既存の認定製品にどのような脆弱性が影響するか、認定された製品が相互に参照する方法を学ぶために、教師なしのモデルをトレーニングしました。
- 参考スコア(独自算出の注目度): 0.2886273197127056
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Products certified under security certification frameworks such as Common Criteria undergo significant scrutiny during the costly certification process. Yet, critical vulnerabilities, including private key recovery (ROCA, Minerva, TPM-Fail...), get discovered in certified products with high assurance levels. Furthermore, assessing which certified products are impacted by such vulnerabilities is complicated due to the large amount of unstructured certification-related data and unclear relationships between the certificates. To address these problems, we conducted a large-scale automated analysis of Common Criteria and FIPS 140 certificates. We trained unsupervised models to learn which vulnerabilities from NIST's National Vulnerability Database impact existing certified products and how certified products reference each other. Our tooling automates the analysis of tens of thousands of certification-related documents, extracting machine-readable features where manual analysis is unattainable. Further, we identify the security requirements that are associated with products being affected by fewer and less severe vulnerabilities (on average). This indicates which aspects of certification correlate with higher security. We demonstrate how our tool can be used for better vulnerability mitigation on four case studies of known, high-profile vulnerabilities. All tools and continuously updated results are available at https://seccerts.org.
- Abstract(参考訳): Common Criteriaのようなセキュリティ認定フレームワークの下で認定された製品は、コストのかかる認定プロセスの間、かなり精査される。
しかし、プライベートキーリカバリ(ROCA、Minerva、TPM-Fail...)を含む重要な脆弱性は、高い保証レベルを持つ認定製品で発見される。
さらに、未構造化の認証関連データや証明書間の不明瞭な関係のため、このような脆弱性によってどの認定製品が影響を受けるかを評価することは複雑である。
これらの問題に対処するため、我々はCommon CriteriaとFIPS 140証明書の大規模自動解析を行った。
NISTのNational Vulnerability Databaseの脆弱性が既存の認定製品に与える影響と、認定された製品が相互に参照する方法を学ぶために、教師なしのモデルをトレーニングしました。
我々のツールは、数万の認証関連文書の分析を自動化し、手動による解析が不可能なマシン可読な特徴を抽出する。
さらに、より少ない脆弱性(平均値)で影響を受ける製品に関連するセキュリティ要件を特定します。
これは、認証のどの側面がより高いセキュリティと相関しているかを示しています。
当社のツールが、既知の高名な脆弱性の4つのケーススタディにおいて、より優れた脆弱性軽減にどのように使用できるかを実証する。
すべてのツールと継続的に更新された結果がhttps://seccerts.org.comで公開されている。
関連論文リスト
- The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - Excavating Vulnerabilities Lurking in Multi-Factor Authentication Protocols: A Systematic Security Analysis [2.729532849571912]
単一要素認証(SFA)プロトコルは、しばしばサイドチャネルや他の攻撃技術によってバイパスされる。
この問題を軽減するため,近年,MFAプロトコルが広く採用されている。
論文 参考訳(メタデータ) (2024-07-29T23:37:38Z) - Managing Security Evidence in Safety-Critical Organizations [10.905169282633256]
本稿では,安全クリティカル組織におけるセキュリティ証拠管理の成熟度について述べる。
認証機関や標準化機関が定める要件の増大に対して,セキュリティ証拠管理の現在の成熟度は不十分であることが判明した。
理由の1つは教育のギャップであり、もう1つはプロセスの欠如である。
論文 参考訳(メタデータ) (2024-04-26T11:30:34Z) - Chain of trust: Unraveling references among Common Criteria certified products [0.3058340744328236]
本研究では,Common Criteria認定商品の参照グラフ構築のための新しい手法を提案する。
結果の参照グラフの助けを借りて、この作業では、エコシステム全体の少なくとも10%が依存している認証済みのコンポーネントをわずか10個特定する。
論文 参考訳(メタデータ) (2024-04-22T14:59:35Z) - Adaptive Hierarchical Certification for Segmentation using Randomized Smoothing [87.48628403354351]
機械学習の認証は、特定の条件下では、敵対的なサンプルが特定の範囲内でモデルを回避できないことを証明している。
セグメンテーションの一般的な認証方法は、平らな粒度のクラスを使い、モデルの不確実性による高い断続率をもたらす。
本稿では,複数レベルの階層内で画素を認証し,不安定なコンポーネントに対して粗いレベルに適応的に認証を緩和する,新しい,より実用的な設定を提案する。
論文 参考訳(メタデータ) (2024-02-13T11:59:43Z) - A Survey and Comparative Analysis of Security Properties of CAN Authentication Protocols [92.81385447582882]
コントロールエリアネットワーク(CAN)バスは車内通信を本質的に安全でないものにしている。
本稿では,CANバスにおける15の認証プロトコルをレビューし,比較する。
実装の容易性に寄与する本質的な運用基準に基づくプロトコルの評価を行う。
論文 参考訳(メタデータ) (2024-01-19T14:52:04Z) - Safe Online Dynamics Learning with Initially Unknown Models and
Infeasible Safety Certificates [45.72598064481916]
本稿では、制御バリア関数(CBF)2次コーンプログラムに基づく、堅牢な安全証明書を備えた学習ベースの設定について考察する。
制御バリア関数証明書が実現可能ならば,その安全性を確保するため,本手法では,データ収集と制御バリア関数制約の実現可能性の回復のために,システムダイナミクスを探索する。
論文 参考訳(メタデータ) (2023-11-03T14:23:57Z) - Rethinking Certification for Trustworthy Machine Learning-Based
Applications [3.886429361348165]
機械学習(ML)は、非決定論的振る舞いを持つ高度なアプリケーションの実装にますます使われています。
既存の認証スキームは、MLモデル上に構築された非決定論的アプリケーションにはすぐには適用されない。
本稿では、現状の認定制度の課題と欠陥を分析し、オープンな研究課題について論じ、MLベースのアプリケーションのための最初の認定制度を提案する。
論文 参考訳(メタデータ) (2023-05-26T11:06:28Z) - Et Tu Certifications: Robustness Certificates Yield Better Adversarial Examples [30.42301446202426]
我々の新しいEmphCertification Aware Attackは、計算効率のよい規範最小化対逆例を生成するために認証を利用する。
これらの攻撃は、認証境界の厳密性を評価するために使用できるが、認定のリリースは、パラドックス的にセキュリティを低下させる可能性があることも強調している。
論文 参考訳(メタデータ) (2023-02-09T00:10:05Z) - Towards Evading the Limits of Randomized Smoothing: A Theoretical
Analysis [74.85187027051879]
決定境界を複数の雑音分布で探索することにより,任意の精度で最適な証明を近似できることを示す。
この結果は、分類器固有の認証に関するさらなる研究を後押しし、ランダム化された平滑化が依然として調査に値することを示す。
論文 参考訳(メタデータ) (2022-06-03T17:48:54Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。