HSM (Hardware Security Module), hassas ve önemli kriptografik key’leri fiziksel ortamda saklamak ve güvenli şekilde işlem gerçekleştirmek için üretilmiş özel güvenlik cihazları. Genelde piyasada “Thales ve Safenet” HSM’leri mevcut.
Thales /Safenet dışında kullanılan HSM markaları da var:
-Atos Trustway ürünü var.
-IBM’in HSM’leri var. Genel de PCI kart tipi ürünler üretiyor.
-MTG’nin Ultimaco ürünü var.
-Procenne yerli firma, ProCrypt ürünü var.
- Tübitak’ın ortak ürettiği Dirak HSM’leri var.
HSM kullanılan sektörler:
-Bankalar/Ödeme Sistemleri (Kredi ve banka kartı işlemleri, POS, ATM, IVR, Mobil, İnternet Bankacılık vb. her türlü otorizasyon işleminde kullanılıyor.)
-Kripto Anahtar Yönetimi Desteği Veren Firmalar (Firmalara simetrik ve asimetrik key oluşturma vb. danışmanlık veriliyor. Örneğin ZMK, KEK key paylaşımı vb.)
-Blok Zincir veya Kripto Para (Kripto para cüzdanlarının oluşturulması ve korunması HSM ile yapılıyor.)
-Elektronik İmza (Türk Trust gibi dijital sertifika firmaları; E-Fatura, Mali Mühür vb. uygulamalarda da kullanılıyor.)
HSM kullanımında ana kurallar:
Bu kurallar genel de yazılı olan, çok dikkat edilmesi gereken kurallar. Literatürde böyle maddeler var. Genel de 2. Ve 3. kurala hiç uymazlar :)
-İkili ya da Üçlü Kontrol Kuralı: Key parçalarının oluşturulması, saklanması ve yüklenmesi işlemleri en az 2 ya 3 da görevlinin birlikte çalışması gerekiyor. Bunu uygulamak için HSM’in bulunduğu kabinin de ikili kontrol sistemi ile açılıyor olması gerekiyor. Yani HSM’in bulunduğu kabinin ön anahtarı bir kişi de arka kapak anahtarı da başka bir kişi de olması gerekiyor. Bir de HSM ekranları, güvenlik kameraları tarafından görüntülenemeyecek şekilde olmak zorunda.
HSM kabin içine varsa rack kitleri veya raf üzerine “sarsıntıya” duyarlı şekilde monte edilmeleri gerekiyor. HSM donanımın yönetimi için kullanılan laptop veya bilgisayar sadece bu iş için kullanılacak ve HSM kabinlerinin içinde olması gerekiyor. Üzerinde herhangi bir ek yazılım olmaması tavsiye ediliyor.
-Key Yönetim Kuralı: HSM, hizmet verdiği tüm key’leri şifrelemek için kendi üzerlerinde kök veya master key tutar. Bu key’leri şifrelemek için kullandığı en hassas ve en gizli key, LMK (Local Master Key) ana şifreleme key’i olarak kullanılıyor.
En kritik olan, HSM ile üreticiden gelen smart kartlara istenilen adette parçalara bölünür. Genelde 3 adet key parçasından ana key’in elde edilmesi yeterli oluyor. Oluşturulan key parçaları kurumlarda AGG (Anahtar Güvenlik Görevlisi) teslim edilmeli ve fiziksel güvenliklerinin sağlanması gerekiyor.
-Bilginin Bölüştürülmesi Kuralı: Hiç kimsenin AGG (Key Giriş Görevlisi veya Key Officer)’nin key parçalarının üçünü birden bilmemesi ya da key parçalarının saklandığı kasaların her üçüne birden erişim yetkisinin olmaması gerekiyor.
AGG’lere teslim edilen key’ler, açık formları ve smart kartlar güvenli kasalara, bir defa açıldığında tekrar kullanılamayan seri numaralı özel zarflara konulması gerekiyor. Kasaların anahtarları 2 farklı kişide olması gerekiyor. Yani AGG’ler kasalara direkt erişimi istenmiyor. Kasalardaki her türlü key bilgisini tutan smart card, form vb. işlemleri (Kasadan alınması, Kasaya konulması) form ile kayıt altına alınması gerekiyor.
Kayıtlar
0 comments :
Yorum Gönder