Certyfikacja bezpieczeństwa

Certyfikacja bezpieczeństwa to niezależna ocena przeprowadzana przez zewnętrzną stronę, która potwierdza, że produkt spełnia określone kryteria bezpieczeństwa. Daje mierzalny sposób porównania roszczeń dotyczących bezpieczeństwa. W kontekście kryptowalut najczęściej odnosi się do urządzeń sprzętowych i ich kluczowych komponentów. Wspólne Kryteria to najczęściej stosowana międzynarodowa rama do takich oceny. Określa poziomy zapewnienia oceny od EAL1 do EAL7. Wyższe numery EAL wymagają bardziej rygorystycznych dowodów i testów. EAL5 i wyżej są często używane do ochrony danych o wysokiej wrażliwości. Układy Secure Element są tej samej klasy komponentami, które są używane w kartach płatniczych, cyfrowych identyfikatorach i kartach SIM. Te układy są zaprojektowane, aby opierać się zarówno na zdalnych, jak i bezpośrednich atakach fizycznych. Certyfikacja ocenia wiele obszarów produktu. Oceniacze przeglądają kontrolę łańcucha dostaw i procesy cyklu życia. Inspekcjonują procedury rozwoju i jakość dokumentacji. Przeprowadzają testy funkcjonalne, aby zapewnić, że funkcje działają zgodnie z określonymi wymaganiami. Przeprowadzają również testy penetracyjne przeciwko realistycznym modelom atakujących. Model zagrożenia oceniany zazwyczaj obejmuje atakującego zdalnego oraz takiego z pewnym dostępem fizycznym. Certyfikacja zapewnia publiczną pewność, że te kontrole zostały przeprowadzone przez niezależne laboratorium. Zmniejsza konieczność polegania jedynie na marketingu dostawcy. Istnieje wiele planów certyfikacyjnych poza Wspólnymi Kryteriami. Krajowe i regionalne programy mogą wprowadzać różne wymagania lub obszary koncentracji. Zakres certyfikacji ma ogromne znaczenie. Czasami certyfikacja obejmuje tylko układ lub tylko pojedynczy moduł oprogramowania. Czasem obejmuje cały stos urządzenia, od sprzętu do aplikacji. Użytkownicy powinni sprawdzić, co dokładnie zostało ocenione. Certyfikacja nie jest magiczną gwarancją niewrażliwości. Jest to rygorystyczny moment oceny przeprowadzony w określonych warunkach. Nowe błędy oprogramowania i nowe techniki ataku mogą pojawić się po ocenie. Ongoing security to połączenie certyfikowanego sprzętu z bezpiecznym oprogramowaniem, starannymi praktykami łańcucha dostaw, ciągłymi testami i publicznymi programami ujawniania luk. Istnieją kompromisy między wyższymi poziomami zapewnienia a kosztem, złożonością lub czasem wprowadzenia na rynek. W wielu praktycznych przypadkach EAL5+ zapewnia silną odporność na realistyczne ataki, podczas gdy wyższe poziomy przynoszą malejące zyski dla większości użytkowników. Dla każdego, kto wybiera urządzenie sprzętowe do kryptowalut, właściwe pytania są proste. Zapytaj, co zostało certyfikowane, które laboratorium dokonało oceny, jaki model zagrożenia został użyty i czy ocena obejmowała cały produkt. Połącz tę wiedzę z dobrą operacyjną bezpieczeństwa, taką jak kopie zapasowe, fizyczne przechowywanie i ostrożne praktyki oprogramowania.