Wenn Implementierungen von kryptografischen Signaturen mit elliptischen Kurven nicht vor Timing-Angriffen geschützt werden, kann ein Angreifer unter Umständen den privaten Schlüssel berechnen. Das zeigte ein tschechisches Forscherteam am Beispiel eines Krypto-Chips namens Athena. Auch mehrere Open-Source-Bibliotheken sind verwundbar. Die verwundbaren Chipkarten wurden nach FIPS und Common Criteria zertifiziert. Den Angriff nennen die Forscher Minerva.
Am selben Forschungsinstitut wurde 2017 die Sicherheitslücke ROCA in der RSA-Implementierung von Infineon-Chips gefunden. Auch Letztere waren zertifiziert, unter anderem vom BSI.
Dies zeigt wieder einmal, dass Zertifizierungen nicht alle Aufgaben erfüllen können, die ihnen zugeschrieben werden.
