walletcenter

گواهینامه امنیتی EAL چیست؟

قاسم میلاجردی

زمان مورد نیاز برای مطالعه: 5 دقیقه

گواهینامه امنیتی EAL چیست؟

اگر مقالات مرتبط با تجهیزات الکترونیکی امنیتی مثل کیف پول‌ های سخت افزاری را مطالعه کنید،‌ به احتمال زیاد با واژه‌ی EAL برخورد خواهید کرد. مثلاً می‌دانیم که کیف پول‌های لجر (لجر نانو اس و لجر نانو ایکس) و ترزور دارای گواهینامه‌ی EAL 5+ و کیف پول کول ولت پرو دارای درجه‌ی EAL 6‌ است. اما داشتن این گواهینامه به چه معناست؟

کیف پول سخت افزاری کول ولت پرو را می‌شناسید؟

EAL یک گواهینامه‌ امنیتی و مجموعه‌ای از تست‌های مختلف برای تشخیص میزان امنیت دستگاه‌های الکترونیکی در سطوح مختلف است. در هر سطح از این ارزیابی، بخش‌های مختلفی از دستگاه مثل ساختار، عملکرد، طراحی هدفمند و غیره آزمایش می‌شوند. جزئیات آزمون‌های این گواهینامه یک بحث فنی و نسبتاً پیچیده است که سعی می‌کنیم آن‌ها را به ساده‌ترین شکل ممکن توضیح دهیم. با ما همراه باشید تا با گواهینامه امنیتی EAL و سطوح مختلف آن بیشتر آشنا شوید.

بیشتر بدانید: کیف پول سخت افزاری چیست

 

گواهینامه EAL‌ چیست؟

«EAL «(Evaluation Assurance Level) یا «سطح اطمینان ارزیابی»، مقیاسی برای تشخیص میزان امنیت یک سیستم یا دستگاه الکترونیکی است که در ۷ سطح EAL1 تا EAL7‌ انجام می‌شود. در هر سطح، با توجه به عملکرد و وظیفه‌ی هر دستگاه، مجموعه پارامتر‌های خاصی را که در سطح بین‌المللی تعریف شده می‌توان روی آن بررسی کرد. هرچه تعداد قابلیت‌ها و عملکرد‌های یک دستگاه بیشتر باشد، می‌توان آن را برای سطوح بالاتری از EAL‌ مورد ارزیابی قرارداد؛ در حقیقت همیشه بالا بودن سطح EAL‌ به معنی بالاتر بودن سطح امنیتی نیست، زیرا دستگاهی که یک یا دو عملکرد محدود دارد، EAL پایین‌تری خواهد داشت و این به معنای درجه‌ی امنیتی پایین‌تر نیست.

باید به این نکته توجه داشته باشیم که EAL‌ به تنهایی درجه‌ی امنیت یک دستگاه را نشان نمی‌دهد؛ بلکه EAL نشان‌گر سطحی از ارزیابی است که یک دستگاه الکترونیکی در آن مورد آزمایش قرارگرفته است.

برای اینکه یک دستگاه الکترونیکی سطح خاصی ازگواهینامه EAL را دریافت کند، باید بتواند نیازمندی‌ها و حداقل عملکرد مورد نظر در آن سطح را دارا باشد. در اکثر موارد، منظور از این نیازمندی‌ها، وجود اسناد طراحی، آنالیز طراحی، تست عملکرد و تست نفوذپذیری است. برای سطوح بالاتر EAL، نیاز است موارد قبلی با جزئیات بیشتری ارائه شوند. طبیعی است که دریافت سطوح بالا در گواهینامه EAL نیازمند صرف زمان و هزینه‌ی بیشتری است و دستگاه یا سیستمی که گواهینامه EAL سطح بالاتری دریافت می‌کند، پیچیده‌تر بوده و قابلیت‌های بیشتری داشته و توانسته از زاویه‌های بیشتری مورد ارزیابی قرار بگیرد.

نکته‌ی مهمی که در مورد ارزیابی‌های هر سطح در گواهینامه EAL وجود دارد این است که برای مثال، نیازمندی‌های یک سطح دلخواه مثل سطح ۳ برای همه‌ی دستگاه‌ها یکسان تعریف شده است، اما از آنجایی که عملکرد و اهداف دستگاه‌ها متفاوت‌اند، برای هر کدام از آن‌‌ها و متناسب با نوع دستگاه، یک «هدف امنیتی» (Security Target) مجزا تعریف می‌شود. پس از آنجایی که برای هر وسیله، هدف امنیتی خاصی تعریف می‌شود، بالاتر بودن سطح EAL الزاماً به معنای بالاتر بودن سطح امنیت آن دستگاه نخواهد بود. تنها در صورتی که هدف امنیتی تعریف شده برای دو دستگاه مختلف شامل پارامترهای یکسانی باشد، ‌در این صورت دستگاهی که EAL بالاتری داشته باشد، سطح امنیت بهتری داشته و قابل اعتمادتر است.

بیشتر بدانیدنکات مهم در امنیت کیف پول های سخت افزاری

 

سطوح مختلف گواهینامه EAL

همان‌طور که بیان شد، گواهینامه EAL‌ دارای ۷ سطح مختلف از EAL1 تا EAL7‌ است. در هر سطح مجموعه پارامترهای خاصی از دستگاه یا سیستم مورد نظر ارزیابی می‌شوند که در ادامه به این موارد خواهیم پرداخت.

سطوح مختلف گواهینامه EAL

 

EAL1 – تست عملکرد

در سطح EAL1 تمرکز روی عملکرد دستگاه است و درستی اجرای یک یا چند عملکرد خاص زیر نظر گرفته می‌شود. در این تست، تهدیدهای امنیتی زیاد جدی گرفته نمی‌شوند. میزان توانایی دستگاه در اجرای کامل و مستقل یک کار با حفظ امنیت اطلاعات شخصی، مشخص‌کننده‌ی قبولی در این تست خواهد بود. EAL1‌ در حقیقت یک ارزیابی TOE (Target of Evaluation) است که موارد آن از قبل به اطلاع درخواست‌دهنده می‌رسد و در آن، عملکرد تک‌تک قسمت‌های دستگاه به طور جداگانه بررسی شده و با مطالب موجود در اسناد راهنمای دستگاه مقایسه می‌شود. (منظور از TOE مجموعه مواردی است که در ارزیابی یک سطح EAL، در مورد هر سیستم به طور جداگانه تعریف می‌شود تا نتیجه ارزیابی دقیق‌تر باشد.)

هدف EAL1‌ این است مشخص کند آیا می‌توان عملکرد قسمت‌های مختلف دستگاه را بدون کمک گرفتن از توسعه‌دهنده‌های آن و با کمترین هزینه ارزیابی کرد یا خیر. نتیجه‌ی ارزیابی در سطح EAL1‌ نشان می‌دهد که عملکرد یک دستگاه تا چه اندازه با اسناد ارائه‌ شده‌ آن مطابقت دارد.

 

EAL2 – تست ساختار

این سطح از ارزیابی با همکاری توسعه‌دهنده‌ی محصول انجام می‌شود؛ زیرا به برخی اطلاعات طراحی و نتایج برخی تست‌های ساخت دستگاه نیاز است به طوری که تهیه و ارائه‌ی آن‌ها نیازمند صرف هزینه یا زمان قابل توجهی نباشد. گواهینامه EAL2‌ به سیستمی تعلق می‌گیرد که کاربرها یا توسعه‌دهنده‌های آن بدون نیاز به دسترسی به گزارش‌های کامل ساخت آن سیستم، نیازمند یک سطح پایین تا متوسط از تضمین امنیت مستقل باشند. شرایط این سطح برای ارزیابی سیستم‌های قدیمی موارد بیشتری را شامل می‌شود.

 

EAL3 – تست روشمند بودن عملکرد

در EAL3‌ بیشترین امتیاز به سیستمی داده می‌شود که عملکردهای آن با مهندسی بهتر و مثبت‌تری طراحی شده باشند و برای تشخیص این ویژگی نیاز به تغییر یا دستکاری زیادی در سیستم نباشد. ارزیابی EAL3 در شرایطی  انجام می‌شود که کاربرها یا توسعه‌دهنده‌ها به سطح متوسطی از تضمین امنیت و استقلال نیاز داشته باشند و همان‌طور که گفته شد، بدون نیاز به مراحل پیچیده مهندسی و فقط با بررسی موارد موجود در TOE‌ حاصل شود.

 

EAL4 – تست روشمند بودن طراحی

در EAL4‌ بیشترین امتیاز به سیستمی داده می‌شود که طراحی آن براساس شیوه‌های توسعه‌ی تجاری بهتری انجام شده باشد و بتوان بدون نیاز به دانش و مهارت خاص و سطح بالا یا منابع مختلف،‌ نوع طراحی آن را مشخص کرد. گواهینامه EAL4 بالاترین مدرک مورد نیاز برای مقاوم‌سازی خط تولید یک محصولِ موجود است. ارزیابی EAL4‌ زمانی انجام‌پذیر است که کاربرها یا توسعه‌دهنده‌ها به سطح متوسط تا بالایی از تضمین امنیت و استقلال نیاز داشته باشند. در این مرحله ممکن است برای موارد امنیتی ویژه، هزینه‌های بیشتری صورت بگیرد.

بیشتر سیستم‌عامل‌های قدیمی کامپیوترها مثل AIX ،NetWarw ،Solaris، Linux 5 ،XP ،Vista و غیره دارای گواهینامه EAL4 بودند. در حقیقت سیستم‌عامل‌ها به خاطر داشتن سیستم‌های امنیتی چندلایه باید حداقل EAL4 را با موفقیت دریافت کنند.

 

EAL5 – تست طراحی نیمه رسمی

گواهینامه EAL5 میزان مهندسی موارد امنیتی را براساس شیوه‌های سخت‌گیرانه و دقیق توسعه‌ی تجاری، با استفاده‌ی متوسط از تکنیک‌های تخصصی مهندسی امنیت بررسی می‌کند. میزان هزینه‌ای که یک سیستم برای دریافت این گواهینامه صرف می‌کند، با توجه به تکنیک‌هایی که در آن استفاده می‌شود، رقم زیادی نخواهد بود. ارزیابی EAL5 در شرایطی انجام می‌شود که کاربرها یا توسعه‌دهنده‌ها به سطح بالایی از تضمین امنیت و استقلال نیاز داشته باشند بدون اینکه مجبور به صرف هزینه‌های اضافه برای تکنیک‌های تخصصی مهندسی امنیت شوند.

دستگاه‌های زیادی مثل کیف پول‌ های سخت‌افزاری لجر و ترزور، کارت‌های هوشمند،‌ دستگاه‌های LPAR‌ شرکت IBM و سیستم‌عامل XTS-400‌ دارای گواهینامه امنیتی EAL5 هستند.

 

EAL6 – تست طراحی تأیید شده نیمه رسمی

گواهینامه EAL6‌ اطمینان می‌دهد که برای تولید و توسعه‌ی یک محصول که قابلیت محافظت از اطلاعات با ارزش کاربرها در برابر تهدیدها را دارد، از تکنیک‌های مهندسی امنیت قابل اعتماد استفاده شده است. این سطح امنیتی برای سیستم‌هایی کاربرد دارد که ارزش دارایی‌های ذخیره‌شده در آن‌ها نسبت به تجهیزات نگهداری آن‌ها بسیار بیشتر باشد. برای مثال سیستم‌عامل‌های خاصی مثل Integrity-178B محصول کمپانی Green Hills‌ که در هواپیماهای جنگنده نظامی مورد استفاده قرار می‌گیرد و هم‌چنین کیف پول سخت‌افزاری کول ولت پرو دارای گواهینامه امنیتی EAL6 هستند.

 

EAL7 – تست طراحی تأییدشده رسمی

از سطح EAL7 نیز برای ارزیابی سیستم‌ها و تجهیزات امنیتی در شرایط بسیار پرریسک که دارایی‌های با ارزش با تهدیدهای خارجی مواجه هستند استفاده می‌شود.

در حال حاضر کاربرد EAL7‌ محدود به مواردی است که فقط بر عملکرد امنیتی تمرکز داشته و به طور رسمی قابل تجزیه و تحلیل هستند. در سیستم‌های Interactive Link شرکت Tenix‌ و تجهیزات Fox Data ‌شرکت Fox-IT دارای این گواهینامه‌ی امنیتی هستند.

EAL7 – تست طراحی تأییدشده رسمی

 

افزایش درجه امنیتی با علامت پلاس (+)

در برخی موارد یک علامت + جلوی EAL نوشته می‌شود. علت این اتفاق این است که ممکن است یک دستگاه یا سیستم، قابلیت‌های بیشتری نسبت به مواردی که در ارزیابی EAL‌ بررسی می‌شود داشته باشد. در چنین مواردی می‌توان جلوی EAL یک علامت یا کد مشخص با یک معنی خاص استفاده کرد. فروشنده‌های این نوع تجهیزات به طور خلاصه از علامت + به معنای دارا بودن قابلیت‌ها و شرایط بیشتر استفاده می‌کنند. مثل EAL4+ یا EAL5+.

 

سخن پایانی

گواهینامه امنیتی EAL یکی از راه‌های ارزیابی قابلیت ‌اعتماد به ساختار و عملکرد سیستم‌های الکترونیکی از نقطه نظرهای مختلف مخصوص به مسائل امنیتی است. این ارزیابی با توجه و کاربرد و هدف هر سیستم متفاوت بوده و در ۷ سطح مختلف از EAL1 تا EAL7 انجام می‌شود. بالاتر بودن سطح این گواهینامه الزاماً به معنی بهتر بودن سطح امنیتی نیست، ولی هر چه سطوح EAL بالاتر بروند، پیچیدگی و قابلیت‌های دستگاه یا سیستم مورد نظر بیشتر می‌شود.کاربرهای دنیای کریپتوکارنسی‌ها این مفهوم را بیشتر در حوزه‌ی کیف پول‌ های سخت ‌افزاری مشاهده کرده‌اند، ولی باید بدانیم که سطوح مختلف گواهینامه EAL در بسیاری از سیستم‌های الکترونیکی از سیستم‌عامل‌ها گرفته تا چیپ مدارهای جنگنده‌های هوایی کاربرد دارند.