从同方微电子说起 看CC EAL4+到EAL5+到底有多难

北京的四月，柳絮飞舞，朝气蓬勃的季节。也正是在这个季节，国内首家芯片厂商获得国际CC EAL5+认证，这就是北京同方微电子有限公司(以下简称同方微电子)。在与荷兰Brightsight实验室和挪威SERTIT认证机构的协作之下，经历一年时间完成从CC EAL4+到CC EAL5+的认证突破，其中2015年12月完成CC EAL4+认证，2016年4月完成CC EAL5+认证。时间之短，效率之快，这让来自荷兰的Brightsight团队都为之感叹。此先河已开，从同方微电子开始，或许有更多的国内芯片厂商将更多的精力投入到安全当中。那么从CC EAL4+到CC EAL5+到底有多难呢?国内首个通过CC EAL5+芯片的出现对市场有什么作用呢?一卡通世界网应邀出席同方微电子CC EAL5+颁证典礼，在此也谈一谈CC EAL认证。

CC EAL是什么?

CC(Common Criteria)是国际标准化组织统一现有多种准则的结果，是目前最全面的评价准则。CC将评估过程划分为功能和保证两部分，评估等级分为EAL1、EAL2、EAL3、EAL4、EAL5、EAL6和EAL7共七个等级。每一级均需评估7个功能类，分别是配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试和脆弱性评估。等级可以用以下表格概况：

不过对于芯片厂商来说，只需要过4以上就可以了，因为过1~3，就像是高考中额外考加减乘除一样。

CC EAL之所以国际上这么重视，从两个方面比较能说明问题，一个是起草标准的国家均是工业等级较为发达，号称是6个国家7方(美国国家安全局和国家技术标准研究所、加、英、法、德、荷)共同提出。第二个是承认的国家多，据参加同方微电子颁证典礼的Brightsight团队介绍，全球一共28个国家官方承认，而且都是较为发达的国家。所以任何一款芯片如果希望流行于国际市场，那么CC EAL认证是必须过的坎。

值得注意的是，现在应用在金融领域的芯片只要求过CC EAL4+，而CC EAL5+是证明该公司的芯片拥有更强的安全级别。正如一位业内人士的比方：就像考试一样，CC EAL4+就像是60分及格，但是CC EAL5+或许是80分、90分，能够证明你优秀，后面还有更高的CC EAL6和CC EAL7等着。

从CC EAL4+到EAL5+到底有多难?

经历了CC EAL4+到EAL5+的同方微电子总裁段立就用了一句话总述：过程惨不忍睹，结果超乎预料。Brightsight团队用了“创举”和“从来没人做到的事”来形容与同方微电子的合作，时间短是一个表现，另外一个是认证单位、检测机构、同方微电子三方协作的努力。认证单位是来自挪威的SERTIT，检测机构是荷兰Brightsight，三个不同国家的团队共同协作完成。Brightsight副总裁张凯帆就透露，同方微电子团队晚上写文件，白天就机构认证，有时还加入了时差的问题，整个过程不可谓不艰辛。

在CC EAL5+的过程中最大的挑战主要来源于两方面，第一方面是使用半形式化的语言描述芯片设计。这是我们第一次使用半形式化语言，并且半形式化语言没有统一的标准，但是要求却非常严格，要求开发者必须借助表格，图形以及解释性语言等方式毫无歧义地描述芯片设计，任何一点描述上的不清晰都会导致这一认证项目的失败。另一方面从认证内容上，CC EAL5+比EAL4+更加复杂。用通俗的解释来说，CC EAL4+是防护安全威胁，也就是见招拆招。但是CC EAL5+是见招拆招的基础之上，需要预防一些可能发生的风险，不仅仅需要证明能够防御安全威胁，还需要让认证机构认可防御机理，从原理上说服认证机构。

此外许多企业难以过CC EAL5+认证也有两大重要因素，一个是人力物力财力的问题，整个企业需要下足够的决心。另外一个是，相比CC EAL4+，EAL5+更加要求企业的软实力，这不仅仅是企业自身实力的强大要求，还是对其在整个产业链影响力的强大考验，一般企业难以做到。

CC EAL5+到底能做什么?

在应用领域上，CC EAL4+与EAL5+基本上是差不多。但是在颁证致辞中，段立也重复的说道了一个字眼——安全。对于使用金融IC卡的银行来说，安全是重中之重，任何能够证明产品更加安全的方式或者方法都更加有竞争能力，无论国内还是国际都是如此。在许多银行招标中，或许CC EAL4+已经可以满足应用需求，但是为了追求更高的安全等级，会出现CC EAL5+的要求。所以通过CC EAL5+认证是在证明产品更加安全的同时，让产品更加有竞争能力。

上升到更大的角度来说，同方微电子本次CC EAL5+认证的通过，是一次向世界证明中国“芯”实力，从而将芯片产品推向国际的机会。相信未来，越来越多的国内芯片厂商能够突破安全的围栏，走入国际芯片舞台。与此同时，THD88是全球唯一一款同时获得CC EAL5+认证、银联卡芯片产品安全认证和国密二级认证的金融安全芯片。齐肩国际芯片厂商的同时，也达到了国内安全要求。

国产芯通过CC EAL5+认证或许只是一个开始，一个安全竞速时代的开始，同方微电子可谓是当了一次鲶鱼，驱逐其他国内芯片厂商在技术实力和安全等级上做更高的要求。面对国内巨大的金融IC卡芯片市场，更加激烈的芯片市场竞合时代已经开始，大戏即将上演。