atsec Steve Weingart 在2010年度IEEE VLSI测试研讨会中发表讲话

2010-03-18

德克萨斯,奥斯汀 - 我们自豪地宣布atsec信息安全公司首席顾问Steve Weingart将在2010年度IEEE VLSI测试研讨会上就 “在设计设备和系统时考虑安全标准”议题进行20分钟的演讲。IEEE VTS 将于4月19日到4月22日在加利福尼亚州圣克鲁斯市(Santa Cruz, CA)召开。该演讲将成为11B特别会议(4月21日周三上午11时 – 下午12时)的一部分,包括:“热门话题:硬件安全:设计,测试和验证问题”。

Steve Weingart(迈阿密大学78届初等教育学士)20世纪80年代以来一直从事安全和加密工作。在IBM的Thomas J. Watson研究中心,他协助编写FIPS 140-1标准,而且带领硬件工程师进行首批设备验证,并通过FIPS 140-1,4级最高安全标准。自那时起,他成为了一位针对安全和加密测试相关项目的开发者、咨询顾问和标准测试者。Steve目前是位于德克萨斯州奥斯汀市(Austin, TX)的atsec信息安全公司首席顾问。

摘要:
“作为攻击者技能的增加,计算机系统的安全不得不改进,以提供足够的安全性和完整性的保护。 不断发展的安全措施(从防篡改到加密算法)并不总是像开发商声称的那样强大,这使得任务更加艰巨。这大大增加了设备或系统设计人员了解使用什么样的措施或者如何使用的困难度。

此外,由于安全措施复杂程度已超出大多数用户的能力确定范围,所以在大多数情况下终端用户无法衡量的它的功效。

考虑到这些问题,安全标准已经得到发展:可以为设计人员提供参考点和设计措施;用户可选择已验证符合标准的产品以保证他们的系统在一定程度上是安全的。

标准既包括安全要求(防篡改和响应、密钥管理、清零、算法的选择等)和互操作性要求(算法模式和方法,字节存储顺序等),以确保安全性和兼容性。然而,标准还不完善。系统和方法发展如此迅速使大多数标准不得不改变和调整已适应不断变化的需求。在多数情况下,标准必须适应那些在最初的开发阶段没有预想到的情况。

这次演讲将在设计符合标准期间,从设计需求方面考虑,对设备和系统设计的标准的应用进行讨论。此外,对典型的侧门攻击(即没有预见的,所以有可能不被考虑)和安全边界的一般概念也将被讨论。”

我们邀请您加入该议题的讲演讨论。

关于艾特赛克(atsec)信息安全
atsec是一家独立且基于标准的IT(信息技术)安全咨询和评估服务公司,它拥有丰富的技术知识和国际经验,为客户提供具有商业导向的信息安全解决方案。 2000年1月,atsec首先成立于德国慕尼黑。随着在国际范围业务的迅速发展,atsec先后在美国、瑞典、中国壮大。
atsec提供代码的安全性审查,ISO/IEC 27001 ISMS咨询,以及渗透测试和扫描服务。
atsec还提供IT安全正式认证的评估和测试服务,包括美国,德国和瑞典通用评估准则(Common Criteria)体系的评估,美国NIST(National Institute of Standards and Technology)和加拿大CSEC(Communications Security Establishment Canada)体系的密码模块和密码算法评测,支付卡产业(PCI: Payment Card Industry)数据安全标准的符合性评估。
atsec的客户包括全球首屈一指的公司如IBM、Oracle、Apple、Microsoft、Hewlett-Packard、华为、Cray、宝马、SGI、Vodafone、Swisscom、RWE和 Wincor-Nixdorf等。