Hardware Security Module (HSM) nedir?
Hardware Security Module (HSM)’ler hassas kriptografik anahtarları fiziksel ortamda saklamak ve kriptografik işlemleri en güvenli şekilde gerçekleştirmek için üretilmiş özel güvenlik donanımlarıdır. Bu donanımlar uygulamaların güvenli bir şekilde çalışmasını sağlarlar. Bu uygulamalara örnek; Kök anahtar korunumu, PIN yönetimi, online bankacılık, veritabanı şifreleme, doküman ve kod imzalama, doküman haklarının korunumu, sertifika geçerliliği, SSL Web, XML web servisleri, zaman damgası, DNS güvenliği işlemlerini verebiliriz.
Kriptografik cihazlar müşterilerin veya hükümetlerin talep ettikleri genel güvenlik standartlarını NITS(National Institute of Standards and Technology) veya FIPS(Federal Information Processing Standard ) sertifikasyonlarına uyarak sağlamaktadırlar. HSM’ler saldırılara karşı savunma sistemleri (Tamper Protection) ile donatılmışlardır. Herhangi bir müdahaleye karşı kendi kendilerini sıfırlama özelliğine sahiptirler.
Donanımlar fiziksel olarak external ve internal olmak üzere kullanım amaçlarına göre ayrılırlar. External HSM’ler hizmet verdikleri uygulama sunucularına özel kablo ile direkt bağlı olarak veya ethernet portu üzerinden ağ ortamlarında çalışabilmektedirler. Internal HSM’ler ise PCI, PCI-Express ve PCMCIA Kart olarak sunucular üzerinde çalışmaktadırlar. Cihazlar tek başlarına veya “High Availability” ve ”Hot Backup” modlarında çalışarak yüksek performans ihtiyaçlarına cevap verebilmektedirler.
Örnek HSM donanımları (Internal Safenet PCI, External Thales 9000)
HSM üreten firmalar; Thales, Safenet, IBM, ARX, BULL, Utimaco, Atos Worldline
Uygulama seviyesinde alternatif API’ler kullanılabilir.
· PKCS #11 (Public Key Cryptography Standards) (also cryptoki)
· JCE (JAVA Cryptographic Engine)
· OpenSSL – OpenSSL engine API
· JCE/JCA – Java’s cryptography API
· MSCAPI (Microsoft Cryptography API) IIS, CA and others, also available in .NET
· Microsoft CNG API – Microsoft’s next-generation crypto API available for Windows Vista onwards, used by IIS, ADCS and others.
HSM YÖNETİMİ
HSM cihazlarının üreticiden satın alınmasında itibaren uyulması gereken fiziksel güvenlik zorunlulukları vardır. Bu gereklilikler VISA ve MASTERCARD gibi ödeme sistemleri dünyasındaki kuruluşlar tarafından denetimlerde, özellikle uygulanıp uygulanmadığı sorgulanmaktadır.
Öncelikle üreticiden teslim alınan ürünün size ulaşana kadar fiziksel bir müdahaleye uğramadığından emin olmalısınız. Cihazın teslim alınması aşamasında herhangi bir fiziksel darbesinin olmadığının gözle kontrolü önemlidir. Cihaz teslim alındıktan sonra güvenli ortama kurulana kadar geçen sürede müdahaleye açık ortamlarda tutulmamalıdır. Bunun için alınabilecek en pratik çözüm, donanımın kısa sürede güvenli ortama kurulumudur.
HSM donanımlarının tutulduğu güvenli ortamlar özel odalar ya da veri merkezleri içerisinde güvenli kabinler olmalıdır. Güvenli odalara ve veri merkezlerine erişim kontrolü sağlanmalı, erişim kayıtları tutulmalıdır.
HSM cihazlarını yöneten kişilerin tek başlarına doğrudan cihazlara müdahale edememeleri gerekmektedir. HSM donanımlarına erişim ikili kontrol prensibine uygun olmalıdır.
İkili Kontrol Prensibi: Anahtar parçalarının oluşturulması, saklanması ve yüklenmesi faaliyetlerinin gerçekleştirilebilmesi için yetkilendirilmiş en az iki görevlinin birlikte çalışmak zorunda olması gerekliliğidir.
İkili kontrol prensibini uygulamak için HSM’in bulunduğu kabinin ikili kontrol sistemi ile açılıyor olması gerekmektedir. Bu kontrol çift kilit, kilit + keypad , çift keypad ile sağlanabilir. HSM cihazlarının bulunduğu kabinlerde sadece ön kapak değil, arka kapağında tek kişi tarafından müdahale edilememesine dikkat edilmelidir. HSM cihazları üzerinde işlem sırasında, erişen ve eşlik eden tüm kişilerin imzaları ile yapılan işlem form ile kayıt altına alınmalı, formlarda yapılmış olan işlemler denetim sırasında detaylı şekilde görülebilmelidir.
HSM ekranları güvenlik kameraları tarafından görüntülenemeyecek şekilde konumlandırılmalıdır. HSM’in bulunduğu kabinetin üzerinde donanımın sarsıntıya karşı hassas olduğuna dair uyarı levhaları bulunmalıdır. HSM kabin içine varsa rack kitleri yoksa raf üzerine sarsıntıya duyarlı şekilde monte edilmelidir. Kabinet üzerinde müdahaleye açık elektrik sigortası olmamalıdır. HSM üzerinde varsa iki adet power girişinin ikiside kullanılmalı ve farklı kaynaklardan beslenmelidir.
HSM donanımın yönetimi için kullanılan laptop veya bilgisayar sadece bu iş için kullanılmalı ve HSM kabinlerinin içinde muhafaza edilmelidir. Yönetim için kullanılan laptop veya bilgisayar başka iş için kullanılmamalı, üzerinde herhangi bir ek yazılım barındırmamalıdır. HSM’i yönetmek için kullanılan program (Hyper Teminal vb.) prosedürde açıkça belirtilmelidir.
HSM her ne maksatla olursa olsun kurum dışı bir firmaya gönderilecekse (tamir / versiyon upgrade )mutlaka sıfırlanmalı (fabrika ayarlarına geri alınmalı) içindeki bilgilerin silindiğinden emin olunmalıdır. Bakıma gönderilecek cihazlar güvenilir bir kargo aracılığı ile ya da müşterinin kendi personeli tarafından “tedarikci anlaşması “ imzalanmış firmaya güvenli bir koli içinde teslim edilmelidir. HSM’in sıfırlama işleminden önce HSM üzerindeki anahtarlar başka bir HSM üzerine aktarılmalı yada yedeklemenin akıllı kartlar ile yapıldığından emin olunmalıdır. HSM donanımı kullanımdan kaldırılacaksa HSM üzerindeki anahtarlar yeni HSM üzerine aktarılmalı, HSM sıfırlanmalı, işlem sonrasında tutanak tutulmalıdır. HSM’in kullanımdan kaldırılacağı durumda anahtarların silinmesi mümkün değilse tutanakla cihaz fiziksel olarak imha edilmelidir.
ANAHTAR YÖNETİMİ
HSM hizmet verdiği tüm digital anahtarları şifrelemek için kendi üzerlerinde kök anahtar tutarlar. Bu anahtarları şifrelemek için kullandığı en hassas ve en gizli anahtar, LMK (Local Master Key) ana şifreleme anahtarıdır. En kritik olan bu anahtar formlara açık olarak yazılmaz, HSM ile üreticiden gelen akıllı kartlara istenilen adette parçalara bölünür. Genelde 3 adet key parçasından ana keyin elde edilmesi yeterlidir.
Oluşturulan anahtar parçaları kurumlarda en güvenilir personele (AGG: Anahtar Güvenlik Görevlisi) teslim edilmeli ve fiziksel güvenlikleri sağlanmalıdır.
Bilginin Bölüştürülmesi Prensibi: Hiçbir kimsenin ve hiçbir AGG’nin anahtar parçalarının açık metinlerinden üçünü birden bilmemesi ya da anahtar parçalarının saklandığı kasaların her üçüne birden erişim yetkisinin olmaması gerekliliğidir.
Bu prensibe uygun olarak AGG’lere teslim edilen anahtar parça açık formları ve akıllı kartlar güvenli kasalara, bir defa açıldığında tekrar kullanılamayan seri numaralı özel zarflarda konmalıdır. Kasaların anahtarları 2 farklı kişide olmalı ve AGG’ler kasalara direkt erişememelidirler. Kasalardaki her türlü key bilgisini tutan materyallerin her türlü hareketi (Kasadan alınması, Kasaya konulması) form ile kayıt altına alınmalıdır. AGG olarak seçilen kişilerin yedekleri olmalı ve yedeklere teslim edilen anahtar parçaları farklı lokasyonlarda güvenli kasalarda saklanmalıdır.