@hw Über den Hinweis auf die Listen zertifizierter Produkte hinaus passt auch der Toot des #BSI vom 01. Juni 2021 gut zu dieser Thematik, der auf Hintergrundinformationen und technische Details zu exemplarischen Schwächen einiger, beispielhafter Security Tokens verlinkt.
👉 https://social.bund.de/@bsi/106335677272645761

#SichereHalbleiterTechnologien #CommonCriteria #Zertifzierung #DeutschlandDigitalSicherBSI

@hw Von diesem und anderen Herstellern gibt es mehrere Modelle mit unterschiedlichen Sicherheitseigenschaften. Idealerweise ist sowohl die Hardware als auch die Software nach #CommonCriteria (CC) oder der Beschleunigten Sicherheitszertifizierung (BSZ) zertifiziert.
Die entsprechenden Listen zertifizierter Produkte sind hier zu finden:
• Deutschland (#BSI): https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Zertifizierung-und-Anerkennung/Listen/listen_node.html
• Frankreich (ANSSI): https://www.ssi.gouv.fr/administration/produits-certifies/cspn/produits-certifies-cspn/
• Niederlande (TÜV Nederland): https://www.tuv-nederland.nl/common-criteria/certification.html

#Zertifzierung

Oft werden für e-Wallets, 2FA-Token, Keyless-Entry oder ähnliche Anwendungen gewöhnliche Mikrocontroller als „Sicherheitscontroller“ genutzt. Das Geheimnis auf dem Controller wird geschützt, indem die Readout-Protection gesetzt wird. Aber solche Chips lassen sich oft einfach mittels Power-Glitches angreifen, wie hier eindrucksvoll gezeigt: https://tches.iacr.org/index.php/TCHES/article/view/8727/8327
Fundiertes Vertrauen kann eine unabhängige #Zertifzierung schaffen.

#SichereHalbleiterTechnologien #BSI #DeutschlandDigitalSicherBSI