19 Aralık 2016 Pazartesi

Kriptoloji ve Donanımsal Güvenlik Modülleri (HSM)

Donanımsal Güvenlik Modülleri (Hardware Security Module - HSM), bir bilgisayar veya sunucuya bağlanarak üretilen anahtarları güvenli bir şekilde fiziksel ortamda saklamak ve hassas kriptografik işlemleri en hızlı şekilde gerçekleştirmek için özel olarak tasarlanmış donanım cihazlarıdır. Bu cihazlar ile neler yapılabildiğini anlayabilmek için öncelikle kriptoloji ile ilgili temel bazı şeyleri bilmemiz gerekmektedir.

Kriptoloji Nedir?

Kriptoloji, şifre bilimidir. Çeşitli iletilerin, yazıların belli bir sisteme göre şifrelenmesi, bu mesajların güvenlikli bir ortamda alıcıya iletilmesi ve iletilen mesajın deşifresiyle uğraşır. Aslında bir matematik bilimidir ve sayılar teorisi üzerine kurulmuştur. Tarihte ilk kez MÖ 1900’lü yıllarda Mısır hiyerogliflerinde kullanılmıştır. Daha sonraları ise özellikle askeri alandaki haberleşmede gizliliğin gerekmesinden dolayı kriptografi, askeri alana girmiştir. Ama bu alandaki en büyük gelişme 2. Dünya Savaşı sırasında Nazi Almanyası’nın “Enigma” isimli elektro-mekanik cihazı, askeri haberleşmede gizli mesajları şifrelemesi ve çözmesi amacıyla tasarlayıp kullanması olmuştur. Bu cihazın deşifre olması birlikte savaşın akışını  değiştirmiştir ve birçok tarihçiye göre 2. Dünya Savaşı’nın iki sene önce bitmesini sağlamıştır. (Bu konuyla alakalı “The Imitation Game” filmini izleyebilirsiniz.) Günümüzde ise teknolojinin gelişmesiyle birlikte günlük hayatımızın her alanında banka kartlarımızda, internette sitelere girişlerde, kablosuz ağlarda vs. kriptoloji biliminin izlerini görürüz. Bunlarla birlikte askeri haberleşme ve siber saldırılar ile bunlara karşı korumada da kriptoloji bilimi bizim için önemli yere sahiptir.

Şifreleme yöntemlerini klasik ve modern şifreleme olmak üzere ikiye ayırabiliriz. Klasik şifrelemede yer değiştirme ve yerine koyma gibi teknikler vardır. Bu şifreleme tipinde genelde bir anahtara ihtiyaç duyulmaz. Bilgisayar ve haberleşme güvenliğinin temel taşı olarak görülen modern kriptografide ise şifreleme algoritmaları çok daha karmaşık yapıdadır. Modern şifrelemedeki simetrik ve asitmetrik şifreleme yöntemlerinde bir anahtarın gizli tutulması gereklidir ve bununla birlikte bu anahtarı şifreleme ve şifre çözme aşamasında kullanmak gerekmektedir. Burada da Donanımsal Güvenlik Modülleri devreye girmektedir. Çünkü Donanımsal Güvenlik Modülleri (HSM), anahtarlara dışarıdan müdahaleyi engelleyecek ve bu anahtarları kullanarak yüksek güvenlikli ve performanslı kriptografik işlemleri gerçekleştirebilirler.




Hardware Security Module (HSM)

Donanımsal Güvenlik Modülleri (Hardware Security Module - HSM), bir bilgisayar veya sunucuya bağlanarak üretilen anahtarları güvenli bir şekilde fiziksel ortamda saklamak ve hassas kriptografik işlemleri en hızlı şekilde gerçekleştirmek için özel olarak tasarlanmış donanım cihazlarıdır. HSM’ler dakikada yüzlerce şifreleme ve imzalama işlemi yapabilirler ve bunları yaparken özel tasarımları sayesinde işlemci yüklemeleri de en aza indirgenmiştir. Esnek bir yapıya sahip olmaları ve paralel işlem yapmalarını sağlamaları nedeniyle de çoğu zaman FPGA tabanlı donanıma sahiptirler. HSM kullanarak sahtekarlık, dolandırıcılık ve bilgilerin ele geçirilmesi gibi riskleri minimuma indirmiş oluruz. Algoritma sistemleri güçlenip, HSM'lere entegre olduğu sürece sistemler her daim daha güvenli ve kırılması zor bir şekilde çalışmaya devam edecektir. Bununla birlikte banka kanunları başta olmak üzere, e-fatura gibi birçok uygulama da HSM kullanma gerekliliğini de beraberinde getirmektedir.

HSM’ler sayesinde simetrik ve asimetrik anahtarları oluşturma ve saklama, şifreleme ve şifre çözme (encrypt / decrypt), imzalama ve onaylama (sign / verify), özetleme (hashing) vb. gibi birçok işlem yapılabilir. Bu işlemleri donanımsal değil, yazılımsal kripto uygulamalarıyla gerçekleştirebiliriz. Yazılımsal kripto uygulamaları HSM’lere göre daha ucuz olmasına karşılık düşük güvenlik sunmaktadır. Bu nedenle kripto yazılımları, güvenliğin son derece önemli olduğu alanlarda HSM’lerin yerini alamazlar.

HSM Uygulamaları ve Çeşitli Kullanım Senaryoları

  • SSL Web ve Uygulama Sunucuları (SSL Web&Application Servers)
  • Kök anahtar korunumu (Root Key Protection, Örn: 4096-bit RSA)
  • Kod İmzalama (Code Signing)
  • EFT İşlem Uygulama (EFT Transaction Processing)
  • XML Web Servisleri (XML Web Services)
  • Döküman İmzalama (Document Signing)
  • PIN Yönetimi (PIN Management)
  • Veritabanı şifreleme (Database Encryption)
  • Online Bankacılık (e-Banking)
  • Zaman damgası (Time Stamping)
  • Kopyalama koruması (Anti – Clonning)
  • Pasaport/Sürücü lisansı basımı (Passport/Driver License Issuing)
  • Akıllı Kart Yayınlama (Smartcard Issuance)
  • Sertifika geçerliliği (Certificate Validation)
  • Döküman hakları korunumu (Document Rights Management)
  • E-pasaport, E-Oylama, E-Faturalama      
  • Güvenli IP Telefon Uygulamaları
  • Bilgi ve sunuculara kimlik erişim onayı
  • Kağıt tabanlı bilgiden, elektronik işlemlere geçiş
  • Web servislerinin ya da web işlemlerinin güvenliği
  • Yoğun kriptografik operasyonların hızlandırılması
  • Anahtar yönetimi çözümleri
  • Bilgi şifreleme (Örnek: Database)
  • Hassas bilgilere Rol-tabanlı çoklu kişilere ve limitli erişim desteği sunmak
  • Sunuculardan bağımsız işlem gücü elde etmek



 HSM'in Özellikleri

 Güvenlik yönünden;

  • HSM kullanarak, tüm kriptografik ve anahtar korunum operasyonlarını güvenli bir biçimde donanım içinde yapabilirsiniz
  • Anahtar korunumu HSM içinde tutulur ve dış dünyaya açık değildir. Örnek olarak PKI sistemlerinde kullanılan özel kök anahtarları (Private Root Key) verebiliriz
  • HSM’ler saldırılara karşı pro-aktif’tir: herhangi bir müdahaleye karşı kendi kendini sıfırlama özelliğine sahiptir (Tamper Protection)
  • Gerçek donanımsal rastgele sayı oluşturma (RNG) motorları sayesinde rastgele anahtar oluşturma hızları, yazılımsal çözümlere oranla oldukça performanslı ve garantilidir


Performans yönünden;

  • HSM’lerin kendi üzerlerinde kriptografik işlemciler bulunduğundan, donanımsal olarak asimetrik ve simetrik operasyonlar hızlı bir biçimde gerçekleşir
  • Kriptografik işlemciler ile CPU ya da yazılım bazlı darboğazlar sıfıra indirgenir ve zaman en iyi şekilde değerlendirilerek, kritik uygulamalar performans kaybı olmadan çalışır. Örnek olarak, Web sunucuları üzerindeki SSL hızlandırıcıları verebiliriz.
  • Sistemler üzerinde birden fazla HSM kullanarak performans yönünden ölçeklenebilirlik ve anahtar saklama kapasitesi artar.

Güvence yönünden;

  • Değerlendirme ve sertifikasyon süreçleri ölçülebilir ve tarafsız inceleme öğeleri sunarak güvenlik unsurlarını artırır. FIPS 140-1/2 Level 2/3 ve Common Criteria sertifikasyonları gibi.
  • Fiziksel yapı gereği, donanımsal HSM güvenlik cihazları maksimum sertifikasyon süreçlerinden geçmek zorundadırlar. Bunlar arasında; fiziksel ve kurcalamaya karşı güvenlik ile RNG özellikleri gösterilebilir.
  • Ürün sertifikasyonları, yapılacak projenin niteliğine göre ön-koşul olarak gösterilebilir. Örnek: Ülke genelinde uygulanan e-imza (PKI) kanunları, Banka Uygulama ve zorunlulukları (Ülkemizde BDDK’nın getirdiği zorunluluklar gibi)

Türkiye’de bu alanda yapılan çalışmalar

 Türkiye'de dışarıdan alınan kripto cihazlarının maliyetinin yüksek olması nedeniyle ve ulusal olmayan bu cihazlarla güvenliğin sağlanamayacağı gerekçesiyle, ulusal kripto cihazının Türkiye’de geliştirilmesi gerektiği kanısına varılmıştır.

İlk ulusal kripto cihazı üretilmesi için 1974 yılında Tübitak tarafından çalışmalara başlanmıştır.
23 Kasım 1976 tarihinde Türkiye’de ilk defa ulusal on-line kripto cihazının prototipinin üretilmesine başlanmıştır ve 1978 Şubat ayında da cihaz üretimi tamamlanmıştır. Cihazın adı MİLON-I(Milli On-Line Kripto Cihazı-I) olarak belirlenmiştir. TSK’nin artan güvenlik taleplerinin karşılanması doğrultusunda 1990 yılında MİLON-II ve 1995 yılında MİLON-III hizmete girmiştir.

Günümüzde TUBİTAK bünyesinde UEKE’de birçok proje geliştirilmektedir. Bunlardan bazıları kriptolu USB bellek, kriptolu cep telefon, taşınabilir çevrimdışı kriptolu cihaz şeklindedir. Tübitak, Dirak HSM projesi ile de yüksek performanslı ve güvenlikli HSM cihazı üzerine çalışmalar yapmış ve standartlara uygun milli bir HSM cihazı oluşturmuştur. Benzer şekilde ASELSAN’ın da bu konularda daha çok askeri alanda kullanılabilecek şekilde çalışmaları olmuştur.

Bunlarla birlikte Türkiye’de son zamanlarda özel sektörde de bu alanda girişimler olmuş ve bu girişimler tübitak desteğiyle çalışmalarına devam etmişlerdir. Bu girişimlerden birisi de çalışmalarına 2013 yılında Tübitak desteğiyle başlamış olan “Procenne” şirketidir. Procenne dijital güvenlik alanında donanımsal ve yazılımsal çözümler üzetmek üzerine odaklanmıştır. "Milli HSM Üretimi" projesi çerçevesinde tamamen yerli kaynaklar ve mühendisler sayesinde prototip üretimi tamamlanmıştır ve şuanda da arge çalışmalarıyla birlikte sertifikasyon sürecini yönetmektedirler. Dijital güvenlik alanındaki diğer projelerin de yanısıra “Akıllı Taşınabilir Milli Kriptolu Telefon” projesiyle de, bilgi ve veri güvenliğine ihtiyacın sürekli arttığı bu zamanlarda, ülkemizin ihtiyacı olan teknolojileri geliştirmeye devam etmektedirler. İnşallah bu alanda yapılan çalışmalar, Procenne ve diğer yerli girişimler başarıya ulaşır ve ülkemiz için stratejik öneme sahip bu alandaki ihtiyaçlar yerli firmalarla sağlanır.


Bu konularda daha fazla araştırma yapmak isteyenler aşağıdaki sayfaları kontrol edebilirler:
https://en.wikipedia.org/wiki/Cryptography
http://www.acikbilim.com/2014/11/dosyalar/kriptoloji-tarihine-yolculuk-turler-ornekler.html
https://www.linkedin.com/pulse/kriptografide-%C5%9Fifreleme-teknikleri-nihal-kindap
http://www.savaskartal.com/2010/04/11/kriptoloji-nedir/
https://en.wikipedia.org/wiki/Hardware_security_module
https://www.bilgiguvenligi.gov.tr/guvenlik-teknolojileri/uygulama-ve-islem-guvenliginde-hsmlerin-onemi-ve-kullanim-alanlari.html

Etiketler: , , , , , , , , , ,

2 yorum:

  1. Adsız8 Ekim 2019 14:22

    Teşekkürler Abdullah bey, çok faydalı bir blog keşke yazmaya devam etseniz (:

    YanıtlaSil
  2. M. Kemal NALÇACI2 Aralık 2019 09:42

    Çok güzel bir yazı olmuş, emeğinize sağlık

    YanıtlaSil

Kaydol: Kayıt Yorumları (Atom)