Der neue Trezor Safe 3 hat laut der Webseite die EAL6+ Zertifizierung, hat diese Zertifizierung auf den Hack einen Einfluss? Zu den derzeitigen Trezor Modellen habe ich nichts gefunden Seitens der Zertifizierung auch auf der Trezor Hersteller Seite wird bei den beiden aktuellen keine Zertifizierung angegeben.
Trezor One und Trezor T haben beide kein Secure Element, der Trezor Safe 3 ist der erste Trezor mit einem dedizierten Secure Element.
Außerdem sollte man sich auch fragen, was überhaupt eine EAL6+ Zertifizierung aussagt. Die Definition von EAL6 und EAL7 haut mich jetzt nicht unmittelbar vom Hocker, auch wenn die reine Definition sehr formal ist.
- Evaluation Assurance Level 6 (EAL6): System ist nach einem semiformal verifizierten Entwurf entwickelt und getestet
- Evaluation Assurance Level 7 (EAL7): System ist nach einem formal geprüften Entwurf entwickelt und getestet
Ich vermute EAL6+ ist Irgendwas dazwischen...
Die Hacks von Trezor One und Trezor T sind möglich, weil es ohne ein Secure Element verdammt schwer, ich würde sogar sagen, praktisch unmöglich ist, Geheimnisse nur mit dem Mikrocontroller selbst zu schützen und vor Extraktionsangriffen zu bewahren.
Ich bin ganz sicher nicht auf dem aktuellen Stand bei Trezor. Für den Trezor Safe 3 dürfte wohl noch kein Hack existieren, sicher bin ich mir allerdings nicht.