Applus+ presenta una solución efectiva para evaluar la seguridad de los módulos criptográficos ante las amenazas existentes

07/06/2016
    Los productos conformes con la regulación FIPS no están protegidos ante ataques de Side Channel y Fault Injection, dos técnicas de penetración efectivas con una implementación relativamente barata y sencilla.
    Todos los productos IT comercializados en Estados Unidos deben ser conformes a la regulación FIPS, un estándar gubernamental de seguridad para los módulos criptográficos embebidos en estos productos. Los requisitos de la versión actual de FIPS 140-2 no incluyen ensayos contra ataque de Fault Injection y Side Channel. Ambas técnicas de ataque comparten características comunes: Se pueden implementar a bajo coste con herramientas que se pueden encontrar fácilmente en el mercado y han demostrado ser efectiva con productos de criptografía comercial de uso diario (embebidos en ordenadores portátiles, móviles, cpu, etc.)
    Una nueva versión de FIPS está siendo preparada, y la industria está en plena discusión sobre como incluir los nuevos requisitos de ensayo de una manera efectiva y económicamente viable. Este asunto fue uno de los principales temas de discusión del International Cryptographic Module Conference, celebrado en Ottawa el pasado mayo de 2016. Applus+ decidió participar en el ICMC y dar su visión como laboratorio de seguridad con una larga experiencia en evaluaciones de productos donde la seguridad es crítica, como las Smart Cards.
    Durante la conferencia, Applus presentó su propuesta para evaluar los ataques de Side Channel y Fault Injection. En la primera parte de la conferencia, los expertos de Applus+ detallaron como se realizan estos ataques, el equipamiento necesario y su coste. En la segunda parte de la conferencia, propusieron un modelo de campañas de ensayo (SPA/SEMA, EMI injection, power line glitch, etc) para evaluar la protección de los módulos criptográficos frente a los ataques de Side Channel y Fault Injection de un modo eficaz y económicamente viable.
    Descargue la presentación de Applus+ en el ICMC o contáctenos para más información.
    Sobre los laboratorios de seguridad de la información de Applus+
    Applus+ es un laboratorio ITSEF (IT Security Evaluation Facility) con reconocimiento SOGIS para evaluaciones de seguridad Common Criteria hasta EAL 7.  Somos también laboratorio reconocido por EMVCo y la mayoría de esquemas de pago (Visa, AMEX, MasterCard, etc.) para evaluar la seguridad de IC (chips), Plataformas (OS) y Aplicaciones de soluciones de pago.  Adicionalmente, somos uno de los pocos laboratorios en el mundo cualificados para realizar evaluaciones de seguridad de productos TEE bajo el esquema de certificación de GlobalPlatform. 

    Applus+ utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso. Para más información, consulta nuestra Política de Cookies. ​

    Panel de configuración de cookies