Page 89 - bilgem-teknoloji-dergisi-13
P. 89
TEST
BİLGEM TEKNOLOJİ
Yasir Emre Bulut - Uzman Araştırmacı, Nihan Çaydaş - Araştırmacı, Rudina Habili - Araştırmacı / BİLGEM TDBY
KRİPTOGRAFİK
MODÜLLER
İÇİN GÜVENLİK
Kriptografik Modül, anahtar oluşturma, yö-
netme, hassas bilgileri depolama ve ilgili krip-
tografik hizmetleri sağlama fonksiyonları ile
kriptografik işlevsellik sağlar
Modern kriptografi, askeri ve devlet sırlarını koruma aracı kapsamında güvenlik ve test gereksinimlerini tanımlayan yandan, yazılımsal kriptografik modülün çalışması sırasın- liklere ayak uydurmak ve periyodik zorunlu bir güncel-
olarak ortaya çıksa da günümüzde tüm insanları ilgilendi- en yeni ve ana standarttır. FIPS 140-3 için, modül gereksi- da hassas verilerin geçici olarak saklandığı bellek alanı, lemeden geçmek için çalışma grupları tarafından sürekli
ren bilgi ve iletişim ortamlarında kullanılmaktadır. nimlerini doğrudan oluşturmak ve münhasır bir standart modülün kontrolü altında olmadığından, genel güvenlik olarak yeniden incelenmekte ve değerlendirilmektedir.
oluşturmak yerine, dünya çapında kabul gören eşdeğer seviyesi tam olarak garanti edilemez. Ayrıca, donanım
Güvenlik açıklarının artmasıyla birlikte bu tür sistemlere standart olan ISO/IEC 19790 Kriptografik Modüller için modüllerinde olduğu gibi fiziksel koruma olmadığından Standartların yapısı, hassasiyeti düşük verilerden kritik
sahip olmanın önemi artmaktadır. Yüksek güvenlik ge- Güvenlik Gereksinimleri standardı referans alınmaktadır. uygulama kaynak kodunun bütünlüğü kolayca tahrif edi- anahtarlara ya da yüksek hacimli para transfer işlemle-
rektiren sistemlerdeki verilerin korunmasını sağlayan en Amerika ve Kanada dışında kriptografik modüllerin gü- lebilir. Yazılımsal modüllerde, tersine mühendislik tabanlı rine kadar çok çeşitli verilerin gerekli seviyede güvenli-
önemli ürünlerden biri de Kriptografik Modüllerdir. venli kabul edilmesi için ISO/IEC 19790 Sertifikası isten- saldırılara karşı da önlemler artırılmalıdır. Güç dalgalan- ğinin sağlanmasına yardımcı olur. Böyle bir çerçeve aynı
mektedir. malarını maskeleyen önlemlerin olmaması, bu modülleri zamanda geliştiricilere, ilgili modülün belirli güvenlik
Kriptografik Modül, anahtar oluşturma, yönetme ve has- güç analizi saldırılarına karşı daha duyarlı hale getirir. Son özellikleriyle uyumlu güvenlik garanti seviyesi seçimine
sas bilgileri depolama fonksiyonları ile kriptografik işlev- ISO/IEC 19790 Kriptografik Modüller için Güvenlik Ge- olarak işletim sisteminin güvenlik kusurlarının uygulama- de izin verir. Kriptografik modül geliştiricileri, ürünlerini
sellik sağlar. Bu tür ürünleri kullanan yaygın sistemler ara- reksinimleri standardındaki gereksinimlerin geliştirici da da ortaya çıkması muhtemeldir. Bu sebeple, yazılımsal akredite laboratuvarlarına gönderir. Test raporları doğru-
sında güvenli kablosuz haberleşme cihazları, Sanal Özel dokümanlarındaki kontrolü ve modülde yapılması gere- kriptografik modüllerin Genel Güvenlik Düzeyi, Seviye 2’yi lama yetkilileri tarafından doğrulanır ve değerlendirme
Ağ (VPN) cihazları, internet tarayıcıları, şifreleme anah- ken testler ISO/IEC 24759 Kriptografik Modüller için Test geçemez. sürecinin başarılı olması durumunda sertifika verilir. Ül-
tarları (token) ve Açık Anahtar Altyapısını (PKI) destekle- Gereksinimleri standardında tanımlanmaktadır. ISO/IEC kemizde, yerli ve milli Kriptografik Modüllerin üretiminin
yen modüller bulunur. 19790’da, 4 güvenlik seviyesi ile 11 güvenlik gereksinim Kriptografik Modüller, güvenlik gerektiren tüm ürün ve yanı sıra testleri de yapılmaktadır.
alanı bulunmaktadır. Gereksinimler; kritik verileri ifşa, sistemler için uygun olan ISO/IEC 15408 Ortak Kriterler
Bu modüller yazılım modülleri olarak da uygulanabilmek- değişiklik veya yetkisiz kullanımdan korumak, düzgün standardı kullanılarak da değerlendirilebilmektedir. Krip- BİLGEM OKTEM Laboratuvarı Ortak Kriterler alanında-
tedir. Donanım tabanlı kriptografik modüllerin en belirgin çalışma ve hata yönetimini sağlamak, algoritmaların ve tografik modüllerin testleri için özel olarak oluşturulmuş ki 20 yıllık tecrübesinin yanında 2016 yılında TS ISO/IEC
örneği Donanım Güvenlik Modülü (HSM)’dür. Kripto kü- rastgele sayı üreteçlerinin doğru uygulanmasını sağlamak yukarıdaki standartlardan dolayı Ortak Kriterler Sertifi- 19790 Kriptografik Modüller için Güvenlik Gereksinimleri
tüphaneleri ise yazılım tabanlı ürünlere örnek olarak ve- için geliştirilmiştir. Kripto uygulamalarında, yalnızca yet- kasyonu nispeten daha az tercih edilmektedir. Testleri konusunda Türk Standartları Enstitüsü (TSE) tara-
rilebilir. kili kullanıcıların erişiminin sağlanması önemli bir konu- fından lisanslanmıştır. OKTEM, Kriptografik Modüllerin bu
dur. ISO/IEC 19790 standardı Seviye 2’de rol ya da kimlik Bu standartlar haricinde, finans işlemleri yapan kurumlar standarda uygun olarak test edildiği ülkemizdeki tek la-
Modüllerin otoriteler tarafından kabul edilmiş güvenlik tabanlı kimlik doğrulama yeterliyken, Seviye 3’te kimlik tarafından kullanılan modüllerin, Ödeme Kartları Sektörü boratuvardır. Güvenlik Gereksinimleri testlerinden geçen
standartlarına sahip olması gerekmektedir. Tam güvenlik tabanlı doğrulama mekanizmalarının uygulanması, Seviye Pin İşlem Güvenliği Donanım Güvenlik Modülü (PCI PTS modüller TSE’den uluslararası geçerliliği olan TS ISO/IEC
garanti edilemese bile uluslararası standartlara göre test 4’te ise çok faktörlü kimlik doğrulama gereklidir. Standart HSM) standartlarına uyumlu olması gerekmektedir. PCI 19790 uygunluk sertifikası almaktadır.
edilmiş ve sertifikalandırılmış modüller güven vermekte- ayrıca özellikle ikinci güvenlik seviyesinin üstünde test PTS HSM standardı, ödeme araçları ve finansal bilgileri
dir. edilen modüller için fiziksel güvenliğe de büyük önem işleyen tüm cihazlar arasında güvenlik gereksinimlerini Kriptografik modüllerin uzun vadeli güvenliğini elde et-
vermektedir. Fiziksel güvenlik konusunda, kriptografik zorunlu kılar. ISO/IEC 19790 ve FIPS 140 standartları ile mek söz konusu olduğunda, bu tür standart uyumluluk-
Değerlendirme ve sertifikasyon ihtiyacı bilgi sistemlerinin modüllerin tahrif etmeye karşı en azından kurcalama ka- uyumluluk, kullanım sırasında modüllerin fiziksel ve man- lardan elde edilen güvenlik avantajları çok önemlidir.
geliştiği 90’lı yıllarda ortaya çıkınca Amerika’daki Ulusal nıtı, kurcalama yanıtı, kurcalama algılama ve kurcalamayı tıksal olarak yüksek düzeyde korunmasını sağlarken, PCI Bilgi güvenliğinin giderek daha çok önem kazandığı gü-
Standartlar ve Teknoloji Enstitüsü (NIST), Kriptografik önleme özelliklerini sağlaması gerekir. Yüksek güvenlik PTS HSM ise tüm yaşam döngüsü boyunca gereken modü- nümüzde hassas verileri koruyan ve işleyen kriptografik
Modül Doğrulama Programı geliştirmeye başlamıştır. Bu seviye testlerinde modüllerin, bozucu olmayan kurcala- le özgü güvenlik gereksinimlerinin tanımlanmasını sağlar. modüllerin güvenlik test ve analizlerinin yaptırılması hem
programda referans alınan standartlar, Federal Bilgi İşlem ma saldırılarını nasıl azalttığı veya yan kanal saldırılarına PCI PTS HSM standardının gereksinimlerinin çoğu, üretim geliştirici hem de modül kullanıcıları açısından kaçınılmaz
Standardı (FIPS 140) olarak adlandırılmaktadır. Günümüz- karşı hangi önlemleri aldığı test edilir. Geliştirilmesi daha sürecinden ilk dağıtıma kadar olan aşamaları kapsayan ek olmaktadır.
de, FIPS 140’ın son sürümü olan FIPS 140-3, ABD ve Ka- kolay olan yazılımsal kriptografik modüller, genellikle gereksinimlerle birlikte FIPS standardından türetilmiştir.
nada’da Kriptografik Modül Doğrulama Programı (CMVP) donanım modüllerine göre daha fazla tercih edilir. Öte Uluslararası standartlar, teknolojideki en güncel değişik-
86 87