Certificatie van beveiligingseigenschappen van dieperliggende systemen

In dit onderzoeksproject wordt fundamenteel onderzoek verricht naar de bouwstenen die de veiligheid en de betrouwbaarheid van geïntegreerde systemen verhogen en die het genereren van bewijsmateriaal om de beveiligingseigenschappen van een apparaat aan te tonen ondersteunen en zo de certificatie van dergelijke eigenschappen bij derde partijen mogelijk maken. De rol van certificatie zal vanuit juridisch perspectief onderzocht worden, waarbij in het bijzonder onderzoek zal worden verricht naar de juridische kwalificatie van certificatieprocessen. Zowel software en hardware componenten spelen een essentiële rol in de algemene veiligheid van een apparaat. Normaal worden in de hardware bouwstenen van een lager veiligheidsniveau geïmplementeerd, zoals efficiënte en compacte encryptie of geheugenbescherming. De software bouwt hierop verder om de veiligheid op hoger niveau te tillen, door onder meer procesisolatie, beveiligde communicatie, of zelfs applicatiespecifieke veiligheidsgaranties zoals onweerlegbaarheid van transacties. Daarom zal dit project zich richten op de beveiliging van zowel hardware als software . Specifiek zal dit project zich richten op de volgende uitdagingen en doelen: 1. Hoge mate van implementatie van beveiliging van geïntegreerde software 2. Hardwareondersteunde softwareveiligheid 3. Implementatie van geïntegreerde beveiligingsoplossingen voor geïntegreerde systemen 4. Rol van certificering in het regelgevend kader rond beveiliging ICRI zal zich vooral richten op de vierde doelstelling, waarbij onderzoek zal worden verricht naar de rol van certificatie bij het verzekeren van veiligheid en vertrouwen. Certificatie is meestal het gevolg van een evaluatie uitgevoerd door een derde partij. De juridische bepalingen met betrekking tot het statuut van dergelijke derde partij zijn echter erg uiteenlopend. De eisen met betrekking tot het certificatieproces zijn, althans vanuit een juridisch oogpunt, niet erg duidelijk. Om producten sneller op de markt te krijgen, hebben wetgevers geleidelijk aan de lange en bureaucratische certificatieprocedures via officiële door de Staat gecontroleerde instellingen verlaten voor nieuwe concepten als "zelfcertificatie". In plaats van gedetailleerde veiligheidsvereisten in wetteksten te verwerken, hebben wetgevers, technologieneutrale bepalingen aangenomen die enkel houden dat producten en diensten aan "essentiële vereisten" moeten voldoen. Het resultaat is een complexe verhouding en rolverdeling tussen wetgeving en technische normen en specificaties. Het doel van dit spoor is het verduidelijken van de onderlinge relatie tussen wetten en (technische) standaarden (in de brede zin), met nadruk op de situatie in de Europese Unie.

Trefwoorden:security, trust, certification, embedded

Disciplines:Rechten