HSM (Hardware Secure Module) - Kriptolu Anahtarlama
Bu yazımızda bilgi güvenliği ve güvenli iletişim gereksinimlerinin sağlanması için kullanılan bazı şifreleme algoritmaları ve kriptolu donanım yapılarından bahsedeceğiz. HSM modüller de kriptolama anahtarlarının saklanması için elverişli olan bazı ortamlardandır. Bunlar aslında donanımsal güvenlik unsurlarıdır ve bir nevi önemli anahtarların saklandığı kasalar gibi düşünülebilir.
 |
| HSM ilüstrasyon [3] |
HSM-Hardware Secure Module yani Donanımsal Güvenlik Modül cihazları, hassas kriptografik (şifreli) anahtarların üretilmesi, fiziksel ortamda saklanması ve gerektiğinde güvenli erişim sağlanarak kullanılması işlemlerinin en güvenilir şekilde yapılması için kullanılan cihazlardır. Yüksek güvenlikli şekilde tasarlanan bu cihazlar, bir bilginin, imzanın, sertifikanın kriptografik hala getirilmesi için yani şifrelenmesi (Kilitlenmesi) için gereken anahtarları saklar. Bilgi güvenliği alanındaki uzman görüşlerine göre, Ödeme , Veri Güvenliği ve Elektronik İmza gibi uygulamalarda sürekli kullanılan kriptografik işlemlerin HSM modüller kullanılmadan güvenli bir şekilde yapılması çok zordur. Hatta imkansızdır. İşletim sistemleri içerisinde kriptolama işlemlerinin yapılması ve ardından kriptolama nahtarlarının yine işletim sistemi içerisinde gizlenmesi pek güvenilir yöntem değildir. Bu durum hackerlar ve bilgi hırsızları için kolaylıkla üstesinden gelinebilecek bir durumdur. [1].
Kullanım Alanları:
- SSL Web ve Uygulama Suncuları
- Kök Anatar (Root Key) Korunumu
- Kod İmzalama
- EFT İşlem Uygulama
- XML Web Servisleri
- Döküman İmzalama
- Pin Yönetimi
- Veritabanı Şifreleme
- Online Bankacılık
- Zaman Damgası (Timestamping)
- Kopyalama Koruması
- Pasaport/Ehliyet Lisans Basımı
- Akıllı Kart Yayınlama
- Sertifika Geçerliliği
- Döküman Hakları Korunumu
- E-Oylama, E-Faturalama
- Güvenli IP Telefon Uygulamaları
HSM modüller network ortamlarına kolaylıkla bağlanabilecek yapıda tasarlanırlar. Bunun için genelde ethernet ve PCIe iletişim arayüzlerine sahiptirler. Çeşitli form factor yapılara sahiptirler. PCIe modül veya 1RU kasa halinde olabilirler. Bu yapıları tercihen uygulamanın türüne ve ortamına göre değişebilir.
GÜVENLİK
HSM modülleri tasarımsal yapılarından ötürü "kurcalama, hacklenme" işlemlerine karşı çeşitli tedbirler alınmış cihazlardır. Uyarı ve loglama fonksiyonlarına sahip oldukları için içindeki bilgiye izinsiz erişim durumlarını kolaylıkla kayıt altına alıp gerektiğinde erişim izni olan kurumlara kişilere bu bilgiyi sağlayabilmektedirler.
Her HSM modülü veri yolu yoklama "bus probing" veya "kurcalama" ya karşı bir veya birden fazla güvenli kriptoişlemci çip barındırarak güvenliği sağlayabilmektedir. Özellikle donanımsal yaklaşımlara ve yöntemlere sahip olan bu izinsiz girişimlere karşı yine donanımsal tedbirlerle karşılık verilmektedir. Tamper direnci dedigimiz, sisteme donanımsal erişimlerin algılandığı yapılarla akabinde içindeki değerli anahtar bilgilerinin silinmesi ve tamamen ortadan kaldırılması ile hırsızlara ve yetkisiz girişimlere karşı tedbirler alınabilmektedir.
 |
| Farklı Form Factor'lerde HSM modüller [4] |
HSM modülller yalnızca kriptografik anahtarların saklandığı cihazlar da değildir. Özellikle bankacılık ve iş zekası uygulamalarında da müşteri veya kurumsal bazlı bilginin saklanması durumlarında da sıklıkla kullanılmaktaıdrlar. Kurumdaki özel algoritmaların veya iş mantığı bilgilerinin güvenli ve kontrol bir şekilde saklanması gereken ortamlar olarak tercih edilmektedirler. Yine elektronik imza uyygulamalarında da benzer görevi görürler. Bu yüzden bazen USB dongle türünde bazen networke bağlı bir cihaz halinde uygulamada yer bulabilirler.
HSM modüllerde kullanılan uygulama iletişim arayüzü PKCS11 'dir. PKCS (Açık Anahtar Standartlar ailesi) standartları RSA güvenlik firmasnın çalışmaları sonucu ortaya çıkmış bir güvenlik standardıdır. RSA firması 1990'dan beri bu standartları güncellemektedir ve labaratuvar çalışmalarının amacı bilgisayar -sistem mühendisleriyle beraber bu standardı güncellemek ve geliştirmektir. Örnek olarak Sun Crypto Accelerator 4000 sisteminin desteklediği PKCS 11 mekanizmalarından bazılarına bakacak olursak şu şekildedir:
HSM modüllerde kullanılan uygulama iletişim arayüzü PKCS11 'dir. PKCS (Açık Anahtar Standartlar ailesi) standartları RSA güvenlik firmasnın çalışmaları sonucu ortaya çıkmış bir güvenlik standardıdır. RSA firması 1990'dan beri bu standartları güncellemektedir ve labaratuvar çalışmalarının amacı bilgisayar -sistem mühendisleriyle beraber bu standardı güncellemek ve geliştirmektir. Örnek olarak Sun Crypto Accelerator 4000 sisteminin desteklediği PKCS 11 mekanizmalarından bazılarına bakacak olursak şu şekildedir:
HSM'ler genellikle FIPS 140-2 veya Common Criteria seviyesinde güvenlik sertifikalarına sahiptirler. FIPS-140 (Federal Information Processing Standarts) serisi güvenlik standardı, Amerikan devletinin kriptografi modüllerinin gereksinimlerini belirttiği, bilgisayar güvenliği için oluşturduğu bir standarttır. 2019 yılında FIPS 140-3 standardı yayınlanmıştır.
- HSM işlevleri aşağıdaki gibi özetlenebilir:
- Bütünleşik güvenli kriptografik anahtar üretimi
- Bütünleşik güvenli kriptografik anahtar depolama ve yönetimi
- Kriptografik ve hassas veri malzemesi kullanımı
- Asimetrik ve simetrik kriptografiyi tamamlamak için uygulama sunucularındaki yük boşaltımı
[2]'de HSM modüllerin güvenlik gereksinimlerine/standartlarına yönelik bir makale çalışması bulunmaktadır. Burada da belirtilmiş olan FIPS-140 güvenlik standardının kapsadığı HSM'e yönelik gereksinimlerden bazıları şunlardır:
- Ports and interface
- Roles, services and authentication
- Finite state model
- Physical security
- Operational environment
- Cryptographic key management
- Electromagnetic interference and electromagnetic compatibility (EMC/EMI)
- Self-tests
- Design assurance
- Mitigation and other attacks
Yorumlar
Yorum Gönder