در مصاحبه‌های قبلی با Charles Guillemet، ما برنامه باونتی (برنامه ای كه در آن افراد باگ ها را گزارش داده و جایزه دریافت می كنند) و آزمایشگاه حمله را مورد بحث قرار دادیم که هر دو با هدف بهبود مستمر امنیت ما ایجاد شده اند در آخرین ویرایش مقالات مربوط به امنیت، نگاهی دقیق‌تر به گواهی ها می‌اندازیم.

گواهی امنیت چیست​؟

به طور کلی، از گواهی‌نامه برای نشان دادن این است كه یك محصول توسط یک شخص ثالث مورد ارزیابی قرار گرفته و به یک استاندارد مشخص رسیده‌است. زمانی كه در مورد تکنولوژی امنیتی صحبت می شود، از گواهی‌ امنیت برای نشان دادن موفقیت سخت‌افزار یا نرم‌افزار خاص در پشت سر گذاشتن آزمون های وسیع امنیتی و رسیدن به یک استاندارد امنیتی مشخص، استفاده می شود. کیف پول سخت افزاری Ledger از تراشه هایی به نام "Secure Element" یا مولفه امنیت، استفاده می‌کند که برای راه‌حل‌های امنیتی سطح بالا به منظور حفاظت از داده‌های حیاتی مانند کارت‌های اعتباری، گذرنامه ها و Pay-TV و غیره به كار می رود​.  این تراشه ها برای سطح بالای امنیتی شان گواهی امنیت دریافت می كنند برای برنامه های كاربردی مبتنی بر این تراشه ها، داشتن این سطح از امنیت از سوی شخص ثالث درخواست می شود. برای کیف پول سخت‌افزاری، چنین نیازی وجود ندارد در Ledger، ما معتقدیم که وظیفه ماست که بالاترین سطح امنیت را تامین کنیم. مولفه های امنیتی که در دستگاه‌های Ledger استفاده می‌شوند، معیار مشترک ارزیابی امنیتی -یک استاندارد بین‌المللی برای کارت‌های بانکی و الزامات دولتی- را گذرانده اند و گواهی EAL۵ + را کسب کرده‌اند​.

سطوح گواهی EAL چیست​؟

هفت سطح مختلف از EAL وجود دارد که مخفف سطح تضمین ارزیابی یا Evaluation Assurance Level است همانطور که پیش از این ذکر شد، سطح EAL مولفه های امنیتی که ما استفاده می‌کنیم ۵ + است. در این چارچوب، مدل تهدید، دسترسی فیزیكی و از راه دور برای مهاجم را در نظر می‌گیرد در حین فرآیند ارزیابی EAL، چندین عنصر در نظر گرفته شده‌اند که عبارتند از:

• چرخه عمر / زنجیره تأمی​ن
• روند توسع​ه
• مستندساز​ی
• آزمون عملکرد​ی
• تست نفو​ذ

كسب eal ۵ + تضمین بالاترین سطح امنیت در برابر تست های نفوذ است فراتر از eal ۵ + دیگر تضمین بالاتری در برابر حملات فراهم نمی‌کند.

انواع زیادی از گواهی‌ها وجود دارند EAL یک گواهی‌نامه بین‌المللی شناخته‌شده است اما گواهی‌ های ملی و حتی داخلی دیگری نیز وجود دارند.

چرا گواهی‌نامه مهم است​؟

هر کسی می‌تواند ادعا کند که یک دستگاه امن دارد، اما اعتماد به این ادعا مشکل است از طریق گواهی نامه ها، یک شخص ثالث مستقل این ادعا را ارزیابی کرده‌است.

Ledger در مورد گواهی‌نامه چه کاری انجام می‌دهد​؟

ما در حال حاضر مشغول به دست آوردن یک گواهی‌نامه برای Ledger Nano S هستیم​.

فرایند بازبینی گواهی طولانی و دقیق است هیچ کیف پول سخت‌افزاری گواهی امنیتی به دست نیاورده است. تحت این شعار "اعتماد نکنید، تایید کنید"، ما قویا به تصدیق ادعاهای امنیتی خود به مشتریانمان اعتقاد داریم به همین دلیل است که مولفه های امنیتی که ما از آن‌ها استفاده می‌کنیم توسط EAL۵ + تایید شده اند و همچنین به همین دلیل است كه ما در حال حاضر بر روی بدست آوردن یک گواهی برای کل دستگاه نیز کار می‌کنیم.