Nas entrevistas anteriores com Charles Guillemet, discutimos nosso programa de recompensas e o laboratório de ataque , ambos com o objetivo de melhorar continuamente nossa segurança. Na última edição de nossos artigos focados em segurança, estamos analisando mais de perto as certificações.
O que é certificação de segurança?
De um modo geral, a certificação é usada para mostrar que um produto passou por avaliação de terceiros e atingiu um determinado padrão . Quando se fala em tecnologia de segurança, a certificação é usada para mostrar que um hardware ou software específico passou por testes extensivos e atende a um determinado padrão de segurança .
Nossas carteiras de hardware Ledger usam chips Secure Element de última geração , que são usados para soluções de segurança de ponta para a proteção de dados críticos , como cartões de crédito, passaportes e TV por assinatura. Esses chips são certificados pelo seu alto nível de segurança. Para esses aplicativos, ter esse nível de segurança é um requisito de terceiros. Para carteiras de hardware, esse requisito não existe. Na Ledger, acreditamos que é nossa responsabilidade fornecer o mais alto nível de segurança.
Os elementos seguros usados nos dispositivos Ledger passaram na avaliação de segurança Common Criteria – um padrão internacional para cartões bancários e requisitos de estado – e obtiveram um certificado EAL5 +.
Quais são os níveis de certificação EAL?
Existem sete níveis diferentes de EAL, que é a abreviação de Evaluation Assurance Level .
Como mencionado, o nível EAL dos Elementos Protegidos que usamos é 5+. Nesse contexto, o modelo de ameaça considera o acesso remoto e físico do invasor. Durante o processo de avaliação do EAL, vários elementos são levados em consideração, tais como:
– ciclo de vida / cadeia de fornecimento
– Procedimento de desenvolvimento
– Documentação
– Teste funcional
– Teste de penetração
Atingir o EAL 5+ garante ter o mais alto nível de segurança contra testes de penetração . Ir além do EAL 5+ não oferece mais garantia contra ataques. Existem muitos tipos de certificações. O EAL é um certificado reconhecido internacionalmente, mas certificados nacionais e até mesmo locais podem existir.
Por que a certificação é importante?
Qualquer um pode reivindicar ter um dispositivo seguro, mas é difícil confiar nessa afirmação. Por meio de certificados, um terceiro independente avaliou a reivindicação.
O que o Ledger faz em relação à certificação?
Estamos actualmente a trabalhar na obtenção de uma certificação para o Ledger Nano S .
O processo de revisão da certificação é longo e rigoroso. Nenhuma carteira de hardware obteve certificados de segurança. Sob o lema “não confie, verifique” , acreditamos firmemente na verificação de nossas reivindicações de segurança para nossos clientes, em vez de acreditar em nossa palavra. É por isso que os elementos seguros que estamos usando são certificados pelo EAL5 + e por que estamos trabalhando para obter um certificado para o dispositivo como um todo.
Sobre Charles Guillemet:
Charles ingressou na Ledger em 2017 como diretor de segurança após trabalhar por 10 anos no setor de criptografia e segurança de hardware. Charles possui um Master of Science em Criptografia e Segurança na Escola de Engenharia ENSIMAG, com especialização em Criptografia e Segurança, onde é agora professor.
Originalmente publicado em: https://www.ledger.fr/2019/03/18/keeping-our-edge-certification/