Ledger Nano S risolve le gravi vulnerabilità che davano accesso agli hacker al dispositivo

L’Agenzia francese per la sicurezza informatica garantisce il certificato di sicurezza al Portafoglio Hardware Nano S di Ledger.

Ledger Nano S della società di portafogli hardware criptata francese Ledger ha ricevuto un certificato di sicurezza di primo livello (CPSN) dall’agenzia nazionale francese per la sicurezza informatica ANSSI.

La National Cybersecurity Agency of France (ANSSI) riferisce al Segretariato Generale per la Difesa Nazionale e la Sicurezza (SGDSN) per assistere il Primo Ministro francese in materia di difesa e sicurezza nazionale. Secondo il loro elenco di prodotti certificati, 122 dei 261 prodotti che ANSSI ha iniziato a valutare dal 1 ° giugno 2018 sono stati certificati.

I prodotti che aspirano a ricevere un certificato CPSN vengono sottoposti a una serie di valutazioni da parte di un laboratorio ANSSI, con test per molteplici scenari di attacco che mettono alla prova la sicurezza del prodotto. Le valutazioni riguardano “firewall, identificazione, autenticazione e accesso, comunicazioni sicure e software embedded”.

Rivendicando innanzitutto un settore del portafoglio hardware crittografico, Ledger sottolinea l’importanza di ricevere una certificazione indipendente di terze parti per attestare la sicurezza della sua offerta e afferma che il CPSN per Ledger Nano S è l’inizio di uno sforzo complessivo per certificare tutti i loro prodotti.

Il blog post sottolinea che Ledger gestisce anche la propria valutazione di sicurezza interna “Attack Lab”, soprannominato Ledger Donjon, che verifica la resilienza dei prodotti per una varietà di scenari di minaccia.

La società ha anche sviluppato un sistema operativo personalizzato, BOLOS (Blockchain Open Ledger Operating System), per accoppiare strategie software e hardware che migliorano la sicurezza.  

Secondo il post sul blog, il certificato CPSN copre una gamma di funzioni di sicurezza di base integrata, tra cui un vero e proprio generatore di numeri casuali, che viene creato tramite hardware e poi post-elaborata attraverso BOLOS, in conformità con le linee guida di sicurezza stabiliti in Francia Sicurezza Generale referenziale .

Altre funzioni di sicurezza certificate CPSN includono una radice di attendibilità, che garantisce che un dato Nano S sia autenticato da Ledger – misure di verifica dell’utente finale, come numeri PIN obbligatori per l’accesso ai servizi e funzionalità post-emissione, che si verificano su un canale sicuro.

I ricercatori hanno affermato di essere in grado di hackerare il Ledger Nano S, così come il portafoglio di crittografia hardware Trezor One e l’offerta di portafoglio hardware più costosa di Ledger, la Ledger Blue.

Il giorno dopo il rapporto, Ledger ha affermato che le vulnerabilità segnalate nei portafogli hardware non erano critiche.

Questo mese di febbraio, Ledger si è scusato per – e si è impegnato a porre rimedio – i problemi con un recente aggiornamento del firmware per Nano S, che aveva inavvertitamente ridotto la capacità di archiviazione del dispositivo.