در دنیای امنیت سایبری، هیچ شاخصی بهاندازهٔ EAL برای تعریف اعتماد در سیستمهای سختافزاری اهمیت ندارد.EAL یا Evaluation Assurance Level بخشی از استاندارد بینالمللی Common Criteria (ISO / IEC 15408) است که به دولتها و شرکتها امکان میدهد تا سطح اطمینان از طراحی، توسعه و مقاومسازی محصولات امنیتی را بسنجند.هر میزان عددی EAL بازتابی از عمق آزمایش و ارزیابی مستقل محصول است — از بررسی عملکرد تا تحلیل سطح تراشه زیر میکروسکوپ الکترونی.
تاریخچهٔ شکلگیری
این استاندارد در دههٔ ۱۹۹۰ با همکاری چندین کشور از جمله فرانسه، آلمان، کانادا، آمریکا و ژاپن تدوین شد تا بهجای مقررات پراکندهٔ محلی (همچون ITSEC و TCSEC) یک چارچوب جهانی ایجاد کند.نتیجهٔ این ائتلاف، Common Criteria بود؛ امروز بیش از ۳۰ دولت عضو برنامهٔ رسمی CCRA (Arrangement) هستند و گواهینامههای هر کشور بهرسمیت شناخته میشود.
ساختار سطوح EAL
هفت سطح اصلی وجود دارد:
EAL1: بررسی عملکرد پایه،
EAL2: تست ساختاریافته الزامها،
EAL3: تحلیل و تست متعادل برنامه و سختافزار،
EAL4: طراحی و توسعه کنترلشده برای بانکها و دولتها،
EAL5: طراحی نیمهفرمال با تست تکرارشونده،
EAL6: طراحی رسمی با اثبات ریاضیاتی،
EAL7: اثبات جامع تئوریک برای سیستمهای حیاتی.
در تراشههایی مانند ST33، پسوند + در EAL5+ نشان میدهد که آزمونهای مقاومسازی فیزیکی (مانند حملات تزریق خطا و تحلیل توان) بهصورت ویژه انجام شدهاند.
گواهی EAL5+ در Ledger
در مدلهای Nano S Plus و Nano X، قلب امنیت دستگاه تراشهٔ ST33J2M0 Secure Element است که شامل واحد رمزنگاری AES‑256، حافظهٔ سریع ضد Glitch و لایههای محافظ سختافزاری در برابر نفوذ است.این تراشه در آزمایشگاه مورد تأیید ANSSI فرانسه ارزیابی و گواهی EAL5+ دریافت کرده است.همین نهاد گواهی را در پایگاه رسمی ssi.gouv.fr منتشر میکند تا اصالت گواهی قابلبررسی عمومی باشد.
ارزیابی شامل مراحل ذیل است:
تحلیل کد بوت و مسیرهای رمزنگاری کلید خصوصی،
آزمون تزریق ولتاژ و میدان مغناطیسی برای شناسایی نشت داده،
آزمون زمانبندی عملکرد برای جلوگیری از حملات Timing Side‑Channel،
ارزیابی مقاومت مواد در برابر Delayering و Laser Scanning.
تفاوت EAL5+ و EAL6+
اگرچه نام EAL6 بزرگتر بهنظر میرسد، اما در عمل استاندارد EAL5+ برای سیستمهای رمزنگاری تجاری بالاترین سطح منطقی امنیت است.سطوح ۶ و ۷ بیشتر به پروژههای نظامی و فضا اختصاص دارند که نیاز به مدل ریاضیاتی کامل از اثبات عملکرد دارند که در صنعت مصرفی مقرونبهصرفه نیست.در مقابل، EAL5+ تلفیقی از حفاظت فیزیکی و نرمافزاری است و هزینه و عملکرد را در تعادلی مطلوب نگاه میدارد.
جایگاه Ledger و نقش VitaTech Life در ایران
Ledger بهعنوان اولین تولیدکنندهٔ کیفپول سختافزاری دارای گواهی EAL5+، پذیرش این استاندارد را در صنعت کریپتو تثبیت کرد.تمام نسخههای رسمی عرضهشده توسط شرکت ویتاتک پارسه (VitaTech Life) از واردات مستقیم اروپا تهیه میشوند و شامل گارانتی ۱۲ ماهه و بستهبندی اصیل هستند.این نسخهها همان تراشهٔ ST33J2M0 را در برد اصلی دارند و امنیت کلید خصوصی کاربر را بدون دخالت نرمافزار جانبی تضمین میکنند.
نتیجهگیری
EAL5+ نه فقط یک عدد در بروشور فنی، بلکه شاخصی از فرایندهای دقیق مهندسی اعتماد است.وقتی دستگاهی مانند Ledger دارای گواهی رسمی EAL5+ از ANSSI فرانسه میشود، یعنی هر لایهٔ فیزیکی، معماری داده و مسیر رمزنگاری آن در محیط آزمایشگاهی مورد تهاجم واقعی و موفق به مقاومت در برابر آن شده است.به همین دلیل است که این سطح از امنیت، سنگبنای نسل جدید محصولات Ledger ۲۰۲۵ محسوب میشود و کاربران میتوانند با اطمینان از محافظت کلیدهای خود سخن بگویند.
