Makalenin ilk bölümüne aşağıdaki linkten ulaşabilirsiniz
http://www.cozumpark.com/blogs/gvenlik/archive/2012/02/12/hardware-security-module-hsm-nedir.aspx
Thales, 7000, 8000, 9000 serisi olarak ürünlerini gruplandırmıştır. Günümüzde 7000 (RACAL olarak bilinir) serisine destek verilmemekte, 8000 serisi HSM satışı yapılmamakta olup 2014 yılı sonunda üretici desteği de kesilecektir.
Satışı yapılan 9000 serisinde gelen en önemli ek özellikler ise cihazlarda yedek güç kaynağı girişi ve ikinci Ethernet portunun eklenmesi ile HSM başında yapmanız gereken işlemlerin uzaktan üreticinin sağladığı donanımla artık yapılabilmesidir. 9000 serisi ürünler geriye dönük olarak tüm özellikleri desteklemektedirler.
Bu makalemizde 8000 serisi Thales HSM ürünlerin ilk kurulumunu inceleyeceğiz.
Thales 8000 HSM
8000 Serisi içerisinde ürünler düşük, orta ve yüksek kapasiteli olarak 3 ana gruba ayrılmıştır.
Gruplandırma TPS (Transactions Per Second) değerine göre yapılmaktadır.
HSM8-SL düşük model 20 TPS, HSM8-SM orta model 220 TPS, HSM-8H yüksek model 800 TPS performans değerlerine sahiptir.
8000 serisi HSM’lerin ön tarafında sağ ve sol olmak üzere iki adet fiziksel anahtara sahiptir.
Bu anahtarlar ile HSM Secure, Offline ve Online moda alınabilmektedir.
Secure modda cihazın ilk kurulumu ve yerel ana anahtar (LMK –Local Master Key) oluşturma işlemleri yapılabilmektedir.
Offline modda key üretim işlemleri yapılmaktadır. Bu modda cihaz isteklere hizmet vermez.
Online modda cihaz isteklere cevap verir, çalışır durumdadır.
Bu üç moddan herhangi birisine HSM’i almak için fiziksel anahtarlar ok yününde veya tersi yönde çevrilmelidir. HSM cihazının kabine montajı sırasında anahtarlar içe doğru çevrilerek ön kapağın arkasındaki kilit açılmalıdır. Kilitler açıkken cihaz secure moda geçeçektir. Bu modda cihazın ilk kurulumunu yapabilirsiniz.
İlk kurulumu yaptıktan sonra sağ veya sol anahtarlardan birini dışarı doğru ok yönünde çevirince HSM offline moda geçer. Her iki anahtarı ok yönünde içe doğru çevirince HSM kabine kitlenmiş olur ki bu durumda HSM online moda geçer. Güvenlik önlemi olarak fiziksel olarak bu anahtarlar olmadan online modda çalışan HSM, kabinden sökülüp alınamayacaktır. Dolayısıyla HSM online modda çalışırken fiziksel anahtarlar üzerinde olmamalıdır. Aksi taktirde istenmeyen müdahalelerde HSM hizmet veremez duruma gelebilir.
Fiziksel anahtarların durumuna göre HSM çalışma modu aşağıdaki tablodaki gibidir.
HSM Modu | Sol anahtar | Sağ anahtar |
Online | Kilitli(Aktif çalışıyor) | Kilitli(Aktif çalışıyor) |
Offline | Kilitli | Kilitli değil |
Offline | Kilitli değil | Kilitli |
Secure | Kilitli değil | Kilitli değil |
Thales HSM’lere ön yüzündeki COM portundan CRT veya Hyper Terminal gibi programlarla konsol olarak bağlanılır.
Default bağlanma parameterleri: |
Baudrate : 9600 |
Data Bits : 8 |
Parity : No |
Stop Bit : 1 |
Flow Control : XOn/XOff |
İlk olarak her iki anahtarı ok yönüne ters içeri doğru çevirerek HSM secure moda alınır.
Secure modda c ile başlayan komutlarda ayar, q ile başlayan komutlarla ise yapılmış olan ayarlar görülür.
Secure>cs à Bu komut ile HSM’in güvenlik ayarları yapılır.
Secure>ch à Bu komut ile HSM’in host portu ayarları yapılır.
Secure>cc à Bu komut ile HSM’in konsol portu ayarları yapılır.
Secure>ca à Bu komut ile HSM’in auxiliary port ayarları yapılır.
Secure>qs à Bu komut ile HSM’in güvenlik ayarları kontrol edilir.
Secure>qh à Bu komut ile HSM’in host portu ayarları kontrol edilir.
Secure>qc à Bu komut ile HSM’in konsol portu ayarları kontrol edilir.
Secure>qa à Bu komut ile HSM’in auxiliary port ayarları kontrol edilir.
Örnek güvenlik ayarı konfigürasyonu:
HSM örnekteki gibi cs komutu girilir ve enter ile her bir satır ayarlandıktan sonra, HSM bu ayarların cihaz ile gelen akıllı kartlara yazmak isteyip istemediğimizi sorar. Saklamak amacıyla karta yazdırılmalı ya da yaptığımız bu ayarları not etmemiz gerekir.
Örnek Akıllı Kart:
Şimdide cihazın host portunu ayarlayarak IP adresini verelim.
ch komutunu girip enter tuşuna basınca HSM her bir satırı tek tek soracak ve istediğiniz ayarı girdikten sonra bir alt satıra geçecektir. En son yaptığımız ayarları akıllı kartlara yazmak isteyip istemediğimizi sorar ve ayarlar yapılmış olur. Ayarları görmek için qh komutunu girip enter yapınca host portu ile alakalı girdiğiniz tüm ayarları gösterecektir.
HSM’in güvenlik ve IP ayarları yapıldıktan sonra anahtarlar dışarı doğru çevrilerek HSM online moda alınır. Yaptığımız ayarların aktif olması için önündeki kırmızı reset tuşuna basılarak cihazın restart etmesi sağlanır. HSM açıldığında online moda geçer ve isteklere cevap vermeye hazırdır. Online modda açılan cihazın IP adreslerinin düzgün olduğu qh komutu ile tekrar kontrol edilmelidir.
Herhangi bir sebeple cihazın güvenlik veya IP adresini değiştirmek istersek, tekrardan cihazı secure moda almalı ve aynı komutlar ile değiştirmek istediğimiz kısımları düzenleyebiliriz.
Şimdi HSM üzerinde LMK ‘yı oluşturalım. LMK bizim HSM üzerindeki ana digital anahtarımız olacağından yedeğini almamız gerekmektedir. Yedek için HSM ile gelen akıllı kartları kullanacağız. LMK yedekleme ve saklama amacı dışında hiçbir şekilde HSM dışına çıkarılamaz.
LMK oluşturulurken HSM secure moda alınır ve aşağıdaki komut setleri kullanılır.
Secure>gk à Bu komut ile LMK’nın parçaları üretilir.
Secure>lk à Bu komut ile LMK HSM’e yüklenir.
Secure>lo à Bu komut ile LMK anahtar depolama alanına yüklenir.
Secure>v à Bu komut ile yüklenen LMK kontrol edilir.
Secure>fc à Bu komut ile LMK yüklenecek akıllı kartlar biçimlendirilir.
Secure>np à Bu komut ile akıllı kartın şifresi değiştirilir.
Öncelikle LMK yüklenecek akıllı kartların biçimlendirilmesi gerekmektedir. LMK’yı 3 anahtar parçasından oluşturacağımız için asıl 3 ve yedek 3 olmak üzere 6 adet kartı teslim edilecek kişiler şifreleri belirleyecek şekilde biçimlendirelim.
fc komutunu girip kartı LMK parçasını yüklemek için kullanacağımızdan biçimlendirmede L seçiyoruz. Kart şifresini, teslim alacak olan AGG(Anahtar Güvenlik Görevlisi) giriyor. HSM yönetim işlemini yapan HSM yöneticisi kart şifrelerini hiçbir şekilde bilmemelidir. Kartın oluşturulduğu tarih ve zaman bilgilerini girip, kullanacak kişi için bir isimlendirme (örnekte so1) verebiliriz. Bu şekilde birinci kartı oluşturmuş olduk. Diğer 5 kartıda aynı komut ile HSM’e tek tek takarak biçimlendiriyoruz.
Kartlarımız hazır olduğundan LMK parçalarını oluşturabiliriz. Biz 3 anahtar parçasından oluşan kredi kartı sisteminde kullanılacak bir LMK üreteceğiz.
Secure modda gk komutunu girip enter yapınca adım adım işlemi yapabiliriz.
LMK component set ile hangi anahtar parçasını (Örnekte 1) oluşturduğumuzu belirtiyoruz. Value A, B ve C için kendimiz el ile değerleri girebileceğimiz gibi, hiç bir şey yapmazsak HSM bizim için rastgele değerler (Örnekte HSM üretti) üretecektir. HSM, anahtar parçası yüklenecek kartı girmemizi ister. Kartı teslim alan birinci AGG HSM’e kartı takar ve şifresini girer. Bu kart biçimlendirildikten sonra başka bir işlemde kullanıldıysa HSM bize kartın boş olmadığını ve işleme devam edip etmeyeceğimizi sorar. Yazmak için Y seçeriz ve ilk asıl karta LMK ‘nın birinci parçası yüklenmiş olur. Yazma işlemi bitince HSM başka bir kopya daha isteyip istemediğimizi sorar. Biz yedek kartlarda oluşturacağımızdan 1. Parçanın yedeği olan AGG kartını HSM takıp şifresini girer ve yedek karta da kopyalama yapılmış olur.
Yukardaki işlem gibi LMK’nın 2. ve 3. parçaları aynı şekilde oluşturulur. Bu işlemler bitince elimizde üreteceğimiz LMK için 3 parça asıl ve 3 parça yedek akıllı kartımız olmuş olur. Bu işlemleri yaparken dikkat edilecek önemli bir husus ise kartların hangi sırada olduğunun ve parçaları oluştururken ekranda görülen check değerinin (Örnekte 1234 21) not edilmesidir. Eğer LMK yüklerken doğru sırada kartları yüklemezsek yüklenen key, elde etmek istediğimiz digital anahtardan farklı olacaktır. Kartları yüklerden yüklenen kartın doğru şekilde yüklendiğini de check değerini kontrol ederek emin olabiliriz.
Şimdide bu 3 parçadan oluşacak LMK ‘yı HSM üzerine yükleyeyim. Secure modda lk komutunu girip enter yapınca adım adım işlemi yapabiliriz.
HSM’lere lisanssa bağlı olarak birden fazla LMK yüklenebilir. Bizim yükleme yaptığımız HSM 5 adet farklı LMK yüklemeyi destekliyor. LMK ID 00, 01, 02, 03 ve 04 olarak set edilmektedir. Biz 00 olan ilk ID yi kullanacağız.
HSM bizden hangi ID’yi kullanacağımızı (00 girdik) girmemizi ister. Sonra kontrol ettiğimizde ne için kullanıldığını hatırlamamız için açıklama (Örnekte Kredi Kartı LMK) girmemizi ister. Sonra ilk parçayı yüklemek için 1. AGG kartını HSM takıp şifresini girer. HSM yüklemeyi tamamlayınca kartı dışarı verir ve konsola check değerini yazar. Check değeri doğru ise anahtar parçası başarılı bir şekilde yüklenmiş demektir. HSM başka parça yüklenip yüklenmeyeceğini sorar. Devam etmek için Y seçilir ve 2. ve 3. AGG ‘de aynı şekilde kartlarındaki bilgileri HSM’e yüklerler. 3. parçada doğru yüklendikten sonra N ile başka parça yüklemeyeceğimizi HSM’e girdiğimizde son olarak örnekteki gibi bilgilendirme yapar. Ekrandaki bilgiler doğru ise Y ile yükleme tamamlanmış olur. Yüklenen LMK ‘yı lo komutu ile anahtar depolama alanına yüklenir ve işlem tamamlanmış olur. Eğer yükleme yaptığınız LMK yükleme sırasında HSM’de daha önce aynı LMK ID ile yüklenmiş bir LMK varsa silineceğine dair aşağıdaki örnekteki gibi bizi uyaracaktır.
LMK yükledikten sonra HSM online moda alıp restart yapmakta fayda var.
Herhangi bir sebeple (gizliğin bozulması, HSM üreticiye gönderilmesi, imha edilmesi vb.) LMK’nın imha edilmesi gerekirse bu işlemi secure moda ek olarak AUTHORIZED (HSM üzerindeki bazı komutlar sadece AUTHORIZED modda çalışır) durumuna almamız gerekir. Bu özellikle fiziksel anahtarlara sahip HSM yöneticisinin tek başına var olan LMK’yı silmesinin önüne geçilmiş olur.
HSM online, offline ve secure modda AUTHORIZED durumuna alınabilir. LMK yüklendikten sonra tüm key üretimi işlemleri online, offline ve secure AUTHORIZED modda yapılır.
Şimdi LMK’yı imha etmek için secure modda iken HSM’i AUTHORIZED moda alalım. Bu işlem için LMK parçalarından 1. ve 2. Kartlara ihtiyaç vardır.
Secure modda A komutu ve enter tuşu girilir, sonra 1. AGG kartını HSM’e kartını takar ve şifresini girip enter yapar, sonra 2. AGG HSM’e kartını takar ve şifresini girip enter yapar ve HSM Secure – AUTHORIZED moda geçmiş olur. Artık LMK’yı silebiliriz.
HSM’e DM komutu girilir, hangi LMK ID silinecekse girilir (Örnekte 00) ve silinecek LMK bilgileri ekrana gelir. HSM tekrardan silme işlemini onaylamamızı ister. Onay Y ile verilince LMK silinir ve HSM secure moda döner.
Bu şekilde HSM’i kullanıma hazırlanmış olur.
Dikkat ettiyseniz bazı komutları büyük, bazılarını ise küçük harflerle yazdık. HSM’in komutu işletebilmesi için komutları küçük veya büyük yazmanız fark etmez.
Bir sonraki makalemizde ne tür ve nasıl digital anahtarlar üretilebileceğine değineceğiz.