Merhabalar, bu yazımızda sizleri Hardware Security Module yani kısaca HSM Nedir? Nasıl Çalışır? Neden ihtiyaç vardır? gibi birçok konuda sizleri bilgilendirmeyi amaçlıyoruz.
HSM Nedir ❓
HSM (Hardware Security Module), kriptografik işlemleri gerçekleştirmek ve hassas verileri güvenli bir şekilde saklamak için kullanılan özel bir donanım cihazıdır. Bu cihazlar, kriptografik anahtar yönetimi, şifreleme, dijital imza, kimlik doğrulama ve diğer güvenlik işlevlerini gerçekleştirmek için tasarlanmıştır. HSM’ler, yüksek güvenlik standartlarına sahip, fiziksel olarak korunan ve sıkı kontrol altında olan bir ortamda çalışırlar. Yani kısaca HSM cihazları bünyenizde bulunan yüksek öneme sahip kriptolojik nesnelerinizi içerisinde güvenli bir şekilde barındırır.
HSM cihazlarının yukarıda bahsettiğimiz “kriptolojik işlemler” için aşağıda örnekler bulunmaktadır.
- SSL Web ve Uygulama Sunucuları (SSL Web&Application Servers)
- Kök anahtar korunumu (Root Key Protection)
- Kod İmzalama (Code Signing)
- EFT İşlem Uygulama (EFT Transaction Processing)
- XML Web Servisleri (XML Web Services)
- Döküman İmzalama (Document Signing)
- PIN Yönetimi (PIN Management)
- Veritabanı şifreleme (Database Encryption)
- Online Bankacılık (e-Banking)
- Zaman damgası (Time Stamping)
- Kopyalama koruması (Anti – Clonning)
- Pasaport/Sürücü lisansı basımı (Passport/Driver License Issuing)
- Akıllı Kart Yayınlama (Smartcard Issuance)
- Sertifika geçerliliği (Certificate Validation)
- Döküman hakları korunumu (Document Rights Management)
- E-pasaport, E-Oylama, E-Faturalama
- Güvenli IP Telefon Uygulamaları
- Bilgi ve sunuculara kimlik erişim onayı
- Kağıt tabanlı bilgiden, elektronik işlemlere geçiş
- Web servislerinin ya da web işlemlerinin güvenliği
- Yoğun kriptografik operasyonların hızlandırılması
- Anahtar yönetimi çözümleri
- Bilgi şifreleme
- Hassas bilgilere Rol-tabanlı çoklu kişilere ve limitli erişim desteği sunmak
- Sunuculardan bağımsız işlem gücü elde etmek gibi HSM cihazlarının daha birçok kriptolojik işlem için destekleri bulunmaktadır.
HSM Ne Değildir ❓
HSM cihazları veri depolama aygıtı değildir, içerisinde kriptolojik bilgiler dışında veri saklamaz. HSM cihazları VPN, Firewall cihazları değildir. HSM cihazlarının temel görevi yüksek performanslı kriptografik işlemleri yapmaktır.
HSM Türleri 🔁
HSM cihazlarının amacı genel olarak 2 türe ayrılmaktadır.
- Genel Kriptoloji işlemleri için kullanılan HSM.
- Finansal ve ödeme işlemleri için kullanılan HSM.
Tüm HSM cihazları ve modülleri bu iki tür arasında bulunmaktadır. Ayrıca HSM cihazları PCIe ve Network tipi olarak 2 ayrı üretimi yapılır. PCI HSM’ler sunucuların PCI slotlarına takılarak kullanılmaktadır. Network tipi HSM’ler ise 1U veya 2U boyutlarında sunucu tipi ve kendine ait ethernet/fiber kartları bulunan cihazlardır. PCIe cihazlarına kıyasla, Network tipi HSM cihazları daha fazla güvenlik ve performans desteği sunmaktadır.
Temel HSM Özellikleri 💡
HSM cihazlarının genel olarak bazı temel özellikleri vardır, bu özellikler markaların ürettiği cihazlara göre değişim göstermektedir. Aşağıda temel olarak neredeyse tüm HSM cihazlarında olan özellikler kısaca belirtirmiştir.
- Fiziksel güvenlik: Fiziksel saldırılara karşı savunma mekanizmaları mevcuttur. Cihaz tarafından fiziksel saldırı tespit edilir ise cihaz kapalı ya da elektriğe bağlı olmasa bile kendini imha edebilir.
- Algoritma desteği: HSM, RSA, AES, DES, EC gibi neredeyse tüm kriptolojik algoritmaları destekler.
- Anahtar yönetimi: HSM’ler, kriptografik anahtarları güvenli bir şekilde saklamak için tasarlanmıştır. Anahtar oluşturma, depolama, kullanma ve imha gibi işlemler HSM’in içinde gerçekleştirilebilir.
- Güvenlik sertifikaları: HSM’ler, yeterliliklerini göstermek için uluslararası güvenlik standartlarına uygunluğu kanıtlayan sertifikalara sahiptir. Örneğin, PCI HSM v3, PCI HSM v4, FIPS 140-3, CC EAL4+ gibi sertifikalar HSM’lerin güvenlik seviyelerine uyumluluğunu belirtir.
- Yüksek performans: HSM’ler, kriptografik işlemleri hızlı bir şekilde gerçekleştirme yeteneklerine sahiptir. Veri şifreleme, doğrulama, imzalama gibi işlemleri hızlı bir şekilde yapabilme sayesinde yoğun kullanım gerektiren ortamlarda zaman ve maliyet avantajı sağlar.
- Entegrasyon yeteneği: HSM’ler, desteklediği API’ler vasıtasıyla farklı sistemlerle entegre olabilmektedir. Bu şekilde HSM’ler, mevcut altyapılara kolayca entegre edilebilir.
- Yedekleme ve kurtarma: HSM’ler, barındırdıkları anahtarların yedeklenmesi ve kurtarılması için mekanizmalara sahip olmalıdır. Olası bir veri kaybı durumunda anahtarların tekrar kullanılabilmesi için güvenli yedekleme şarttır.
Kullanım senaryolarına ve performans gereksinimlerine göre farklı HSM modelleri tercih edilebilir.
Neden HSM İhtiyacı Vardır? 🤔
HSM cihazları dakikada yüzlerce şifreleme ve imzalama işlemi yapabilirler. HSM cihazı kullanarak sahtekarlık, dolandırıcılık ve bilgilerin ele geçirilmesi gibi riskleri minimuma indirmiş oluruz. HSM cihazları sayesinde ;
- Simetrik ve Asimetrik anahtarları oluşturma
- Anahtar Saklama
- Şifreleme ve şifre çözme (encrypt / decrypt)
- İmzalama ve Doğrulama (sign / verify)
- Özetleme (Hashing)
vb. gibi birçok işlem yapılabilir. Bu işlemleri donanımsal bir çözüm olan HSM cihazları yerine, yazılımsal kripto uygulamalarıyla gerçekleştirebiliriz fakat yazılımsal kripto uygulamaları HSM cihazlarına göre daha ucuz olmasına karşılık düşük güvenlik sunmaktadır. Bu nedenle kripto yazılımları, güvenliğin son derece önemli olduğu alanlarda HSM cihazların yerini alamazlar.
HSM Cihazları Nasıl Çalışır? ⚙️
HSM cihazları en basit anlatım ile genel olarak aşağıdaki düzende çalışmaktadır. Bu çalışma düzeni cihazdan cihaza farklılık gösterebilir.
- Sunucu tarafından HSM cihazına verinin şifrelenmesi veya imzalanması için istek gönderir.
- HSM cihazı kendisine gelen isteği içerisindeki güvenlik modülü sayesinde şifreler veya imzalar. Ardından veriyi güvenli yollar ile sunucuya tekrar gönderir.
- Sunucu kendisine gelen şifreli ya da imzalı veriyi kullanarak işlem yapar.
Bu işlemler sırasında hassas verilerin çalınması veya elde edilmesi HSM cihazı sayesinde mümkün değildir.
Ülkemizdeki Çalışmalar 🇹🇷
İlk ulusal kripto cihazı üretilmesi için 1974 yılında TÜBİTAK tarafından çalışmalara başlanmıştır. 23 Kasım 1976 tarihinde Türkiye’de ilk defa ulusal on-line kripto cihazının prototipinin üretilmesine başlanmıştır ve 1978 Şubat ayında da cihaz üretimi tamamlanmıştır. Cihazın adı MİLON-I(Milli On-Line Kripto Cihazı-I) olarak belirlenmiştir. Türk Silahlı Kuvvetlerinin artan güvenlik taleplerinin karşılanması doğrultusunda 1990 yılında MİLON-II ve 1995 yılında MİLON-III hizmete girmiştir.
Günümüzde TUBİTAK bünyesinde UEKAE tarafından birçok proje geliştirilmektedir. Bunlardan bazıları kriptolu USB bellek, kriptolu cep telefon, taşınabilir çevrimdışı kriptolu cihaz şeklindedir. TÜBİTAK, Dirak HSM projesi ile de yüksek performanslı ve güvenlikli HSM cihazı üzerine çalışmalar yapmış ve standartlara uygun Milli bir HSM cihazı oluşturmuştur. Öte yandan Procenne, 2013 yılında kurulmuş ve 5 yıllık Ar-Ge süreci sonrasında genel amaçlı ve ödeme sistemleri HSM ihtiyacını tek platformda karşılayan ProCrypt HSM ailesini üreterek 2019 yılında CC EAL4+, 2021 yılında PCI HSM v3.0 ve 2024 yılında da PCI HSM 4.x sertifikalarını almıştır.
Yerli ve Milli HSM Cihazı Üreticileri 🔐
- TÜBİTAK BİLGEM
- Procenne
Diğer HSM Üreticileri 🔐
Yurtdışı merkezli markaların ürettiği HSM cihazları.
- Thales
- Utimaco
- EnTrust
- IBM
- Fortanix
- Futurex
- Yubico
- Marvell
Bu yazımızda sizlere HSM nedir?, nasıl çalışır?, neden ihtiyacımız var? gibi birçok konuda bilgilendirme yaptık, HSM Nedir yazımızın oluşturmasında kaynak olarak kullandığımız tüm makaleler aşağıda belirtilmiştir. Bir sonraki yazımızda görüşmek üzere, sorunuz veya önerileriniz için bizimle iletişime geçebilirsiniz.