Donanımsal güvenlik modülü

Vikipedi, özgür ansiklopedi
Şuraya atla: kullan, ara

Donanımsal Güvenlik Modülleri (DGM "Harware Security Module"), güçlü kimlik doğrulama için gerekli sayısal anahtarları koruyup yöneten ve kriptoişleme sağlayan fiziksel bir aygıttır. Geleneksel olarak bu modüller takılabilir kart veya bir bilgisayar ya da ağ sunucusuna takılabilen harici bir aygıt şeklindedir.

Tasarım[değiştir | kaynağı değiştir]

DGM’ler, uyarı ve loglama gibi “kurcalama” delili ile “kurcalamanın” tespiti sonrası anahtarların silinmesi gibi“kurcalama” direnci sağlayan kontrollere sahip olabilir. Her bir modül, veriyolu yoklama (bus probing) ve “kurcalamaya” karşı bir veya daha fazla güvenli kriptoişlemci çip barındırabilir.

Pek çok DGM sistemi, bilgisayarın işletim sistemi aracılığıyla paketlenmiş formda veya harici bir akıllı kart ya da başka bir güvenlik belirteçiyle tuttukları anahtarları güvenli biçimde yedekleme amacı taşır.

DGM’ler genellikle ortak anahtar altyapısı ya da online bankacılık gibi iş-kritik altyapıların bir parçası olduğundan, yüksek kullanılabilirlik sağlaması amacıyla kümelenmiş yapıda olur.Bazı DGM’ler iş sürekliliğini sağlamak ve veri merkezi ortamlarının yüksek kullanılabilirlik gereksinimlerini karşılamak amacıyla, çift güç kaynağı ve soğutma fanları gibi yerinde değiştirilebilen parçalara sahip olma özelliği taşırlar.

Piyasadaki DGM’lerin birkaçı, özel olarak geliştirilmiş modüllerin DGM’nin güvenli muhafazasında çalıştırılmasını sağlar. Bu tarz bir özellik örneğin, özel algoritmaların ya da iş mantıklarının güvenli ve kontrollü bir ortamda çalıştırılması gereken durumlarda kullanışlıdır. Modüller native C, .NET, JAVA ya da diğer programlama dillerinde geliştirilebilir. Bu işletim motorları uygulamaya özel kodların korunmasına fayda sağlamasının yanında, DGM’lerin FIPS ya da Ortak Kriter doğrulaması statülerinin de korunmasını sağlar.

Güvenlik[değiştir | kaynağı değiştir]

Uygulama ve altyapıların güvenliğinde önemli rol oynamalarından dolayı, DGM’ler (ve/veya barındırdıkları kriptografik modüller), kullanıcılara ürün ve kriptografik algoritmaların tasarım ve uygulamalarının söylendiği gibi olduğunun güvencesini bağımsız olarak sağlaması için, tipik olarak COmmon Criteria veya FIPS 140 gibi uluslararası tanınmış standartlarla sertifikalandırılmışlardır. FIPS 140 ın güvenlik sertifikasyon erişilebilirliğinin en yüksek seviyesi, çok az sayıda HSM nin başarabildiği Güvenlik seviye 4 tür.

Kullanım[değiştir | kaynağı değiştir]

Donanımsal Güvenlik Modülü sayısal anahtarlar kullanan herhangi bir uygulamada kullanılabilir. Anahtarlar genellikle yüksek değere sahip olmalıdır yani anahtarlar tehlikede olursa sahibine önemli, olumsuz bir etkisi olacaktır.
DGM’nin işlevleri:

  • Bütünleşik güvenli kriptografik anahtar üretimi
  • Bütünleşik güvenli kriptografik anahtar depolama ve yönetim
  • Kriptografik ve hassas veri malzemesi kullanımı
  • Asimetrik ve simetrik kriptografiyi tamamlamak için uygulama sunucularındaki yük boşaltımı

DGM’ler ayrıca veri tabanlarındaki saydam veri şifreleme anahtarlarını yönetmek amacıyla da uygulanırlar.
DGM’ler, yetkisiz kullanım ve potansiyel düşmanlardan, kriptografik anahtarlar dahil bu materyaller için hem mantıksal hem fiziksel koruma sağlarlar.
Kriptografik materyaller DGM’ler tarafından açık anahtar şifrelemede ki simetrik anahtar çiftleri (ve sertifikalar) kullanılarak işlenir.
Bazı DGM sistemleri ayrıca donanımsal kriptografik hızlandırıcılardır. Bunlar genellikle simetrik anahtar işlemleri için sadece donanımsal çözümlerin performanslarına erişemeyebilirler. Bununla birlikte performans aralığı saniyede 1 den 7000 e 1024 bit RSA imzası kadardır. DGM’ler asimetrik anahtar işlemleri için hatırı sayılır CPU yük azaltması sağlarlar. NIST’in 2010 yılında tavsiye ettiği 2048 bit RSA anahtar kullanımından bu yana performansı , uzun anahtar boyutlarında performans gittikçe önemli hale geliyor. Bu konu çerçevesinde, bazı DGM’ler şu anda daha kısa anahtar uzunluklarında daha sağlam şifreleme yapan eliptik eğri kriptografisini(ECC) destekliyor.

PKI ortamı (CA DGM)[değiştir | kaynağı değiştir]

PKI ortamlarında, DGM’ler, sertifikasyon yetkilendirmesi ve kayıt yetkilendirmesi tarafından anahtar çiftlerini oluşturma, depolama ve işlemek için kullanılabiliyor. Bu durumlarda, bir cihazın sahip olması gereken bazı temel özellikler vardır. Bunlar:

  • Mantıksal ve fiziksel yüksek seviye koruma
  • Çok parçalı kullanıcı yetkilendirme şeması (Blakley-Shamir secret sharing yöntemi)
  • Tam yetki ve kayıt izleri
  • Güvenli anahtar yedeklemesi

Diğer taraftan, Kayıt Otoritesi prosedürleri altyapının performans darboğazını temsil ettiğinden, PKI ortamındaki cihaz performansı çevrimiçi ya da çevrimdışı işlemlerde genellikle daha az önem teşkil eder.

DGS Kartlı Ödeme Sistemleri (Banka DGM)[değiştir | kaynağı değiştir]

Sınırlı özellikteki DGM’ler kart işlem sistemlerinde kullanılmaktadır. Bu sistemler genellikle CA DGM’lerden daha az karmaşıktır ve normalde standart bir API özellikleri yoktur. Bu cihazlar iki ana sınıfta gruplandırılabilir:

OEM veya POS cihazları ve ATM’ler için entegre edilmiş modüller:

  • Kartı kullanırken girilen (PİN) kişisel kimlik numarasının şifrelenmesi için
  • Korumalı belleğe anahtarları yüklemek için

Yetkilendirme ve kişiselleştirme modülleri için kullanılabilir:

  • Şifreli bir PİN bloğu ile karşılaştırarak çevrimiçi PİN’i kontrol etmek
  • Bir ATM kontrolörü ile birlikte, kart güvenlik kodlarını kontrol ederek veya çipli kart tabanlı işlemin ana işlem bileşenini gerçekleştirerek kredi/bankamatik kartı işlemlerini doğrulamak.
  • Akıllı kart ile şifreli API desteği ( EMV gibi )
  • Başka bir yetkilendirme sunucusuna göndermek için PIN bloğunu yeniden şifrelemek
  • POS ATM ağ yönetim protokolünü desteklemek
  • Uçtan uca anahtar|veri değişim API fiili standartlarını desteklemek
  • “PIN postası” oluşturmak ve yazdırmak
  • Bir manyetik şeritli kart için veri oluşturmak (PVV, CVV)
  • Bir kart anahtar kümesi oluşturmak ve akıllı kartlar için kişiselleştirme sürecini desteklemek

“Payment Card Industry Security Standards Council”, banka pazarında DGM’ler için standartlara sahip olan ve yeni standartlar üreten büyük bir organizasyondur.

SSL Bağlantısı Tesis Edilmesi[değiştir | kaynağı değiştir]

HTTPS(SSL/TLS) kullanması gereken performans-kritik uygulamalar, tipik olarak büyük tam sayı çarpımları gerektiren oturum anahtarları oluşturulması işini ana makine işlemcisinden DGM cihazına devrederek SSL hızlandırıcı DGM kullanımından faydalanabilirler. Tipik DGM cihazları saniyede 50 ila 1000 adet arasında 1024 bitlik RSA işlemi yerine getirebilirler. Daha uzun anahtar boyutlarında performans daha önemli hale gelmektedir. Bu yüzden bazı DGM’ler artık eliptik eğri algoritmasını desteklemektedir. Özelleştirilmiş DGM’ler saniyede 7000 ve üzeri işlem sayısına ulaşabilmektedir.

DNSSEC[değiştir | kaynağı değiştir]

Artan sayıda kayıt, büyük olan dosyalarını imzalamak için kullanılan anahtar malzemelerini saklamak için DGM’leri kullanmaktadır. DGM kullanılarak imzalanan DNS alan dosyalarının yönetimi için kullanılan açık kaynak araçlarından biri de OpenDNSSEC’tir.
27 Ocak 2007’de DNSSEC’in kök zonu için dağıtımı resmin olarak başlamıştır ve dağıtım işi Birleşik Devletler Ticaret Departmanının desteğiyle ICANN ve Verisign tarafından üstlenilmiştir. Kök imzasının detaylarına Root DNSSEC’in web sayfasından ulaşılabilir.

Ayrıca bakınız[değiştir | kaynağı değiştir]

Dış bağlantılar[değiştir | kaynağı değiştir]