İçeriğe atla

Donanımsal güvenlik modülü

NCipher nShield F3 Donanımsal güvenlik modülü

Donanımsal Güvenlik Modülleri (DGM "Hardware Security Module"), güçlü kimlik doğrulama için gerekli sayısal anahtarları koruyup yöneten ve kripto işleme sağlayan fiziksel bir aygıttır. Geleneksel olarak bu modüller takılabilir kart veya bir bilgisayar ya da ağ sunucusuna takılabilen harici bir aygıt şeklindedir.

Tasarım

Ultra Electronics AEP'nin Keyper Plus Donanım Güvenlik Modülünün bir görüntüsüdür.

DGM’ler, uyarı ve loglama gibi “kurcalama” delili ile “kurcalamanın” tespiti sonrası anahtarların silinmesi gibi“ kurcalama” direnci sağlayan kontrollere sahip olabilir. Her bir modül, veriyolu yoklama (bus probing) ve “kurcalamaya” karşı bir veya daha fazla güvenli kripto işlemci çip barındırabilir.

Pek çok DGM sistemi, bilgisayarın işletim sistemi aracılığıyla paketlenmiş formda veya harici bir akıllı kart ya da başka bir güvenlik belirteçiyle tuttukları anahtarları güvenli biçimde yedekleme amacı taşır.

DGM’ler genellikle ortak anahtar altyapısı ya da online bankacılık gibi iş-kritik altyapıların bir parçası olduğundan, yüksek kullanılabilirlik sağlaması amacıyla kümelenmiş yapıda olur. Bazı DGM’ler iş sürekliliğini sağlamak ve veri merkezi ortamlarının yüksek kullanılabilirlik gereksinimlerini karşılamak amacıyla, çift güç kaynağı ve soğutma fanları gibi yerinde değiştirilebilen parçalara sahip olma özelliği taşırlar.

Piyasadaki DGM’lerin birkaçı, özel olarak geliştirilmiş modüllerin DGM’nin güvenli muhafazasında çalıştırılmasını sağlar. Bu tarz bir özellik örneğin, özel algoritmaların ya da iş mantıklarının güvenli ve kontrollü bir ortamda çalıştırılması gereken durumlarda kullanışlıdır. Modüller native C, .NET, JAVA ya da diğer programlama dillerinde geliştirilebilir. Bu işletim motorları uygulamaya özel kodların korunmasına fayda sağlamasının yanında, DGM’lerin FIPS ya da Ortak Kriter doğrulaması statülerinin de korunmasını sağlar.

Güvenlik

Uygulama ve altyapıların güvenliğinde önemli rol oynamalarından dolayı, DGM’ler (ve/veya barındırdıkları kriptografik modüller), kullanıcılara ürün ve kriptografik algoritmaların tasarım ve uygulamalarının söylendiği gibi olduğunun güvencesini bağımsız olarak sağlaması için, tipik olarak COmmon Criteria veya FIPS 140 gibi uluslararası tanınmış standartlarla sertifikalandırılmışlardır. FIPS 140 ın güvenlik sertifikasyon erişilebilirliğinin en yüksek seviyesi, çok az sayıda HSM nin başarabildiği Güvenlik seviye 4 tür.

Kullanım

Donanımsal Güvenlik Modülü sayısal anahtarlar kullanan herhangi bir uygulamada kullanılabilir. Anahtarlar genellikle yüksek değere sahip olmalıdır yani anahtarlar tehlikede olursa sahibine önemli, olumsuz bir etkisi olacaktır.
DGM’nin işlevleri:

  • Bütünleşik güvenli kriptografik anahtar üretimi
  • Bütünleşik güvenli kriptografik anahtar depolama ve yönetim
  • Kriptografik ve hassas veri malzemesi kullanımı
  • Asimetrik ve simetrik kriptografiyi tamamlamak için uygulama sunucularındaki yük boşaltımı

DGM’ler ayrıca veri tabanlarındaki saydam veri şifreleme anahtarlarını yönetmek amacıyla da uygulanırlar.
DGM’ler, yetkisiz kullanım ve potansiyel düşmanlardan, kriptografik anahtarlar dahil bu materyaller için hem mantıksal hem fiziksel koruma sağlarlar.

Kriptografik materyaller DGM’ler tarafından açık anahtar şifrelemede ki simetrik anahtar çiftleri (ve sertifikalar) kullanılarak işlenir.
Bazı DGM sistemleri ayrıca donanımsal kriptografik hızlandırıcılardır. Bunlar genellikle simetrik anahtar işlemleri için sadece donanımsal çözümlerin performanslarına erişemeyebilirler. Bununla birlikte performans aralığı saniyede 1 den 7000 e 1024 bit RSA imzası kadardır. DGM’ler asimetrik anahtar işlemleri için hatırı sayılır CPU yük azaltması sağlarlar. NIST’in 2010 yılında tavsiye ettiği 2048 bit RSA anahtar kullanımından bu yana performansı, uzun anahtar boyutlarında performans gittikçe önemli hale geliyor. Bu konu çerçevesinde, bazı DGM’ler şu anda daha kısa anahtar uzunluklarında daha sağlam şifreleme yapan eliptik eğri kriptografisini(ECC) destekliyor.

PKI ortamı (CA DGM)

PKI ortamlarında, DGM’ler, sertifikasyon yetkilendirmesi ve kayıt yetkilendirmesi tarafından anahtar çiftlerini oluşturma, depolama ve işlemek için kullanılabiliyor. Bu durumlarda, bir cihazın sahip olması gereken bazı temel özellikler vardır. Bunlar:

  • Mantıksal ve fiziksel yüksek seviye koruma
  • Çok parçalı kullanıcı yetkilendirme şeması (Blakley-Shamir secret sharing yöntemi)
  • Tam yetki ve kayıt izleri
  • Güvenli anahtar yedeklemesi

Diğer taraftan, Kayıt Otoritesi prosedürleri altyapının performans darboğazını temsil ettiğinden, PKI ortamındaki cihaz performansı çevrimiçi ya da çevrimdışı işlemlerde genellikle daha az önem teşkil eder.

DGS kartlı ödeme sistemleri (Banka DGM)

Sınırlı özellikteki DGM’ler kart işlem sistemlerinde kullanılmaktadır. Bu sistemler genellikle CA DGM’lerden daha az karmaşıktır ve normalde standart bir API özellikleri yoktur. Bu cihazlar iki ana sınıfta gruplandırılabilir:

OEM veya POS cihazları ve ATM’ler için entegre edilmiş modüller:

  • Kartı kullanırken girilen (PİN) kişisel kimlik numarasının şifrelenmesi için
  • Korumalı belleğe anahtarları yüklemek için

Yetkilendirme ve kişiselleştirme modülleri için kullanılabilir:

  • Şifreli bir PİN bloğu ile karşılaştırarak çevrimiçi PİN’i kontrol etmek
  • Bir ATM kontrolörü ile birlikte, kart güvenlik kodlarını kontrol ederek veya çipli kart tabanlı işlemin ana işlem bileşenini gerçekleştirerek kredi/bankamatik kartı işlemlerini doğrulamak.
  • Akıllı kart ile şifreli API desteği (EMV gibi )
  • Başka bir yetkilendirme sunucusuna göndermek için PIN bloğunu yeniden şifrelemek
  • POS ATM ağ yönetim protokolünü desteklemek
  • Uçtan uca anahtar|veri değişim API fiili standartlarını desteklemek
  • “PIN postası” oluşturmak ve yazdırmak
  • Bir manyetik şeritli kart için veri oluşturmak (PVV, CVV)
  • Bir kart anahtar kümesi oluşturmak ve akıllı kartlar için kişiselleştirme sürecini desteklemek

“Payment Card Industry Security Standards Council”, banka pazarında DGM’ler için standartlara sahip olan ve yeni standartlar üreten büyük bir organizasyondur.

SSL bağlantısı tesis edilmesi

HTTPS(SSL/TLS) kullanması gereken performans-kritik uygulamalar, tipik olarak büyük tam sayı çarpımları gerektiren oturum anahtarları oluşturulması işini ana makine işlemcisinden DGM cihazına devrederek SSL hızlandırıcı DGM kullanımından faydalanabilirler.

Tipik DGM cihazları saniyede 50 ila 1000 adet arasında 1024 bitlik RSA işlemi yerine getirebilirler. Daha uzun anahtar boyutlarında performans daha önemli hale gelmektedir. Bu yüzden bazı DGM’ler artık eliptik eğri algoritmasını desteklemektedir. Özelleştirilmiş DGM’ler saniyede 7000 ve üzeri işlem sayısına ulaşabilmektedir.

DNSSEC

Artan sayıda kayıt, büyük olan dosyalarını imzalamak için kullanılan anahtar malzemelerini saklamak için DGM’leri kullanmaktadır. DGM kullanılarak imzalanan DNS alan dosyalarının yönetimi için kullanılan açık kaynak araçlarından biri de OpenDNSSEC’tir.
27 Ocak 2007’de DNSSEC’in kök zonu için dağıtımı resmin olarak başlamıştır ve dağıtım işi Birleşik Devletler Ticaret Departmanının desteğiyle ICANN ve Verisign tarafından üstlenilmiştir. Kök imzasının detaylarına Root DNSSEC’in web sayfasından ulaşılabilir.

Donanımsal güvenlik modülü üreticileri

Genel amaçlı donanımsal güvenlik modülleri

Ödeme sistemleri için donanımsal güvenlik modülleri

Ayrıca bakınız

Kaynakça

  1. ^ a b "Dirak Network HSM". Milli Açık Anahtar Altyapısı (Türkçe). TÜBİTAK BİLGEM. 15 Nisan 2024. 28 Nisan 2024 tarihinde kaynağından arşivlendi. Erişim tarihi: 15 Nisan 2024. 
  2. ^ a b "ProCrypt KM-3000 HSM™ | Procenne". www.procenne.com (İngilizce). 4 Ekim 2020 tarihinde kaynağından arşivlendi. Erişim tarihi: 30 Eylül 2020. 
  3. ^ "Fortanix Self-Defending KMS™ | Fortanix". fortanix.com (İngilizce). 27 Şubat 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Temmuz 2020. 
  4. ^ a b "Hardware Security Modules (HSM) - Encryption and Data Protection| Futurex". www.futurex.com. 8 Nisan 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Temmuz 2020. 
  5. ^ "Cryptocards". www.ibm.com (İngilizce). 26 Haziran 1997 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Temmuz 2020. 
  6. ^ "Security Solutions - Nitrox Hardware Security Module Adapters - Marvell - Marvell". www.marvell.com. 15 Temmuz 2020 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Temmuz 2020. 
  7. ^ "nCipher Security | Cryptographic Solutions Delivering Cloud, IoT, Blockchain and Digital Payment Security". nCipher Security (İngilizce). 30 Ocak 1998 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Temmuz 2020. 
  8. ^ "Hardware Security Module | HSM | E-sign company | 【 REALSEC 】". realsec (İngilizce). 14 Temmuz 2020 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Temmuz 2020. 
  9. ^ "Hardware Security Modules (HSMs) | Thales". cpl.thalesgroup.com. 10 Mayıs 2020 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Temmuz 2020. 
  10. ^ "Deploy the NextGen vHSM®". Unbound (İngilizce). 15 Aralık 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Temmuz 2020. 
  11. ^ "General purpose Hardware Security Module by Utimaco: Security Server". Utimaco HSM (İngilizce). 27 Nisan 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Temmuz 2020. 
  12. ^ "Hardware Security Module (HSM) For Modern Systems". Yubico (İngilizce). 29 Aralık 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Temmuz 2020. 
  13. ^ "Fintech Cryptographic Solutions | Payment HSM | 【 REALSEC 】". realsec (İngilizce). 14 Temmuz 2020 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Temmuz 2020. 
  14. ^ "Payment Hardware Security Modules | payShield Family | Thales". cpl.thalesgroup.com. 10 Mayıs 2020 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Temmuz 2020. 
  15. ^ "Utimaco offers Hardware Security Modules for Payment use cases". Utimaco HSM (İngilizce). 27 Nisan 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Temmuz 2020. 
  16. ^ "Payment HSM Services | Hardware Security Modules". MYHSM (İngilizce). 6 Ağustos 2020 tarihinde kaynağından arşivlendi. Erişim tarihi: 26 Ağustos 2020. 

Dış bağlantılar

İlgili Araştırma Makaleleri

<span class="mw-page-title-main">Transport Layer Security</span> Internet Şifreleme Protokolü

Taşıma Katmanı Güvenliği (TLS) ve onun öncülü/selefi olan Güvenli Soket Katmanı (SSL), bilgisayar ağı üzerinden güvenli haberleşmeyi sağlamak için tasarlanmış kriptolama protokolleridir. X.509 sertifikalarını kullanırlar ve bundan dolayı karşı tarafla iletişime geçeceklerin kimlik doğrulaması asimetrik şifreleme ile yapılır ve bir simetrik anahtar üzerinde anlaşılır. Bu oturum anahtarı daha sonra taraflar arasındaki veri akışını şifrelemek için kullanılır. Bu, mesaj/veri gizliliğine ve mesaj kimlik doğrulama kodları için mesaj bütünlüğüne izin verir. Protokollerin birçok versiyonu ağ tarama, elektronik mail, İnternet üzerinden faks, anlık mesajlaşma ve İnternet üzerinden sesli iletişim gibi uygulamalarda yaygın olarak kullanılmaktadır. Bu durumda/içerikte/bağlamda en önemli özellik iletme gizliliğidir. Bundan dolayı kısa süreli oturum anahtarı, uzun süreli gizli simetrik anahtardan türetilememelidir.

<span class="mw-page-title-main">Wi-Fi Protected Access</span>

WPA ve WPA 2 , Wi-Fi İttifakı tarafından kablosuz bilgisayar ağlarını güvenceye almak için geliştirilen, güvenlik protokol ve sertifika programlarıdır. Wi-Fi İttifakı bu programları bir önceki sistem olan WEP deki ciddi zayıflıklara karşı geliştirmiştir.

İnternet anahtar değişim protokolü ya da Internet Key Exchange internet üzerinde güvenli bir şekilde veri alışverişi için kullanılan anahtarların değişimini sağlayan protokoldür.

DNS spoofing diğer adıyla DNS önbellek zehirlenmesi, Alan Adı Sistemi verisini bozarak, DNS çözümleme önbelleğine bozuk verinin yerleştirildiği bir bilgisayar güvenliği saldırısıdır. Ad sunucusunun yanlış sonuç dönmesini sağlar, örneğin IP adresi. Böylece saldırgan, trafiği kendi bilgisayarına yönlendirebilir.

Mesaj doğrulama kodu kriptografi biliminde bir mesajın doğruluğunu kanıtlamak için kullanılan küçük boyutlu bilgilerdir.

Kriptografide blok şifreleme, blok olarak adlandırılmış sabit uzunluktaki bit grupları üzerine simetrik anahtar ile belirlenmiş bir deterministik algoritmanın uygulanmasıdır. Blok şifreleme birçok kriptografik protokol tasarımının önemli temel bileşenlerindendir ve büyük boyutlu verilerin şifrelemesinde yaygın biçimde kullanılmaktadır.

SHA-2, ABD Ulusal Güvenlik Ajansı (NSA) tarafından tasarlanmış kriptografik özet (hash) fonksiyonları kümesidir. Kriptografik özet fonksiyonları, hesaplanmış “özet” ile bilinen ve beklenen özet değerinin karşılaştırılmasıyla, dijital veri üzerinde yürüyen matematiksel operasyonlardır. Özet fonksiyonları ile bir kişi verinin bütünlüğüne karar verebilir. Örneğin, yüklenmiş bir dosyanın özet değerini hesaplamak ve sonucu önceden açıklanmış özet sonucu ile karşılaştırmak, yüklemenin değiştirilip değiştirilmediğini veya üzerinde oynama yapılıp yapılmadığını gösterebilir. Kriptografik Hash fonksiyonlarının kilit noktası çakışma dirençleridir: hiç kimse aynı özet çıktısı veren iki farklı girdi bulamamalıdır.

<span class="mw-page-title-main">Eliptik eğri kriptografisi</span>

Eliptik Eğri Kriptolojisi, sonlu cisimler üzerindeki eliptik eğrilerin cebirsel topolojisine dayanan bir açık anahtar şifrelemesidir. Eliptik Eğri Kriptolojisi, diğer şifrelemeler göre daha küçük anahtar boyuna ihtiyaç duyar.

Anahtar yönetimi, bir kripto sisteminde şifreleme anahtarlarının yönetimidir. Bu yönetim, anahtarların yer değişimi, kullanımı, depolanması, değiş tokuşu ve üretimi ile ilgilenir. Ayrıca Kriptografik protokol tasarımı, anahtar sunucuları, kullanıcı prosedürleri ve diğer ilişkili protokolleri içerir.

<span class="mw-page-title-main">Akıllı kart</span>

Akıllı kart, çipli kart veya tümleşik devre kartı (ICC), entegre devreler içeren herhangi bir mikroçip boyutunda karttır. Akıllı kartlar plastikten, genellikle polivinil klorürden, ancak bazen de polietilen tereftalat bazlı polyesterler, akrilonitril bütadien stiren veya polikarbonattan yapılır. Nisan 2009'dan bu yana, bir Japon şirketi, kâğıttan yapılmış yeniden kullanılabilir finansal akıllı kartlar üretti.

DNSSEC, İnternet Protokolü (IP) ağlarında kullanılan Alan Adı Sistemi (DNS) tarafından sağlanan belirli türdeki bilgilerin güvenliğini sağlamaya yönelik bir İnternet Mühendisliği Görev Grubu (IETF) dokümanıdır. DNS istemcilerine (çözümleyicilerine), DNS verilerinin köken kimlik doğrulaması, kimlik doğrulaması reddi ve veri bütünlüğünü sağlayan, ancak kullanılabilirlik veya gizlilik sağlamayan bir DNS eklentisidir.

S/MIME e-postalarınızı şifrelemenizi sağlayan bir teknolojidir. S/MIME, e-postalarınızı istenmeyen erişimden korumak için asimetrik şifrelemeye dayanmaktadır. Ayrıca, mesajın meşru göndericisi olarak sizi doğrulamak için e-postalarınızı dijital olarak imzalamanıza olanak tanır ve bu da onu birçok kimlik avı saldırısına karşı etkili bir silah haline getirir. S/MIME, IETF standartlarındadır ve bir dizi belgede tanımlanmıştır. En önemlileri ise RFC 3369, 3370, 3850 ve 3851'dir. Başlangıçta RSA Data Security Inc. tarafından geliştirilmiştir. S/MIME işlevselliği modern e-posta yazılımının çoğuna yerleştirilmiş ve ve bu işlevsellik çalışan yazılımların arasında karşılıklı olarak çalışmaktadır.

<span class="mw-page-title-main">Gerçek rassal sayı üreteci</span>

Programlama alanında kullanılan donanım rassal sayı üreteci bilgisayar programı kullanmayarak, fiziksel bir işleyiş ile rassal sayı üretimi için kullanılır. Bu tip cihazlar genel olarak mikroskobik olay tabanlı, istatistiksel olarak rassal gürültü sinyalleri içeren; ısıl gürültü, fotoelektrik etkisi kullanan hüzme bölücü ve diğer kuantum etkisi içeren olayları kullanır. Bu stokastik süreçler, teoride önceden kestirilemez ve teorinin öne sürdüğü sava göre deneysel test sonuçlarına tabiidir. Bir donanım rassal sayı üreteci genel olarak bir tip fiziksel bir gücü elektrik sinyaline dönüştürmek için güç çevirici, rassal dalgalanma genliklerini ölçülebilir seviyelere getirebilmek için güç yükselteç ve diğer elektrik devreleri ve de çıkışı sayısal bir veriye dönüştürebilmek için bir çeşit analog sayısal çevirici içerir. Genel olarak elde edilen sayı ikili sayı sisteminin elemanları olan 0 veya 1 dir. Arka arkaya alınan rassal değişen sayı örnekleri sayesinde sıralı olarak rassal sayılar elde edilir.

PUF (physical unclonable function ya da Fiziksel klonlanamayan fonksiyonlar), mikroişlemci ve benzeri yarı iletken cihazların üretiminden kaynaklanan, her cihazın kendine has olan bir dijital parmak izidir. PUF yarı iletkenlerin üretim sürecinin doğal bir sonucu olduğu için tüm yarı iletkenler için farklılık gösterir. PUF genellikle şifreleme işlemleri için kullanılır. Fiziksel klonlanamayan fonksiyonlar fiziksel yapının içinde somut bir varlıktır. Bugün, PUF genellikle entegre devrelerde gerçeklenmiştir ve genellikle yüksek güvenlik gerektiren uygulamalarda kullanılır.

Disk şifreleme içerisindeki bilgiyi kimliği doğrulanmamış kişilerden korumak için kolayca çözülemeyecek okunmaz bir koda dönüştüren bir teknolojidir. Disk şifreleme disk şifreleme yazılımı veya diske veya diskin herhangi bir bölümüne giden her bir bit veriyi şifreleyen bir donanım kullanır. Veri belleğine kimliği doğrulanmamış kişilerin erişmesini engeller.

Uçtan uca şifreleme (E2EE), sadece uç noktadaki kullanıcıların okuyabildiği bir iletişim sistemidir. Hedefi, İnternet sağlayıcıları, ağ yöneticileri gibi aradaki potansiyel gizli dinleyicilerin, konuşmanın şifresini çözmek için gereken şifreleme anahtarlarına erişmesini engellemektir.

<span class="mw-page-title-main">İnternet güvenliği</span>

Internet güvenliği, yalnızca Internet, sıkça tarayıcı güvenliği ve World Wide Web ile ilgili değil, aynı zamanda Ağ Güvenliği, uygulama ve işletim sistemleri sistemleri ile bir bütün olarak ilgilidir. Amacı, internet üzerinden saldırılara karşı kullanılacak kurallar ve önlemler oluşturmaktır. İnternet, bilgi alışverişi için güvenli olmayan bir kanalı temsil eder; bu da kimlik avı, çevrimiçi virüsler, truva atları, solucanlar ve daha fazlası gibi yüksek bir saldırı veya dolandırıcılık riskine yol açar.

Kriptografik ilkeller, bilgisayar güvenlik sistemleri için kriptografik protokoller oluşturmak için sıklıkla kullanılan, iyi kurulmuş, düşük seviyeli kriptografik algoritmalardır. Bu rutinler, bunlarla sınırlı olmamak üzere, tek yönlü karma işlevleri ve şifreleme işlevlerini içerir.

Güçlü kriptografi veya kriptografik olarak güçlü, kriptografik sistemlere veya kriptanaliz için dirençli olduğu düşünülen bileşenlere uygulanan genel terimlerdir.

Seçilmiş şifreli metin saldırısı, kriptanalistin seçilen şifrelerin şifresini çözerek bilgi toplayabileceği kriptanaliz için bir saldırı modelidir. Bu bilgi parçalarından, saldırgan, şifre çözmek için kullanılan örtülü-gizli anahtarı kurtarmaya çalışabilir.


Bu sayfa, bu Vikipedi makalesine dayanmaktadır.
Metin, CC BY-SA 4.0 lisansı altında mevcuttur; ek koşullar uygulanabilir.
Görseller, videolar ve sesler kendi lisansları altında mevcuttur.