Şifreleme Nedir?
Kriptoloji (Şifreleme) mantığı karşımıza ilk olarak Milattan Önce 1900’lü yıllarda, Mısır uygarlığında karşımıza çıkan bir teknik. Mısırlıların kullandığı değişik hiyeroglifler, bilinen ilk kriptoloji örneklerini oluşturuyor.
Bu kadar eski bir tarihe sahip olan kriptolojinin önemi günüzmüde daha da arttı. Eskiden sadece bir mesajın, gerçek alıcısı tarafından kullanılan kriptoloji, günümüzde verilerin saklanması konusunda bilişim sektörünün en önemli konusu haline geldi.
Günümüzde veri, şirketler ve bireyler için oldukça kritik bir varlık seviyesine geldi. Finansal veya teknik bilgilerin veya müşteri verilerinin saldırganlardan korunması, siber güvenlik sorunlarının giderek artan dünyada oldukça kritik bir hal aldı. Bu yüzden verinin güvenliğini sağlamanın en önemli yollarından biri de şifreleme geliyor.
Şifreleme, veriyi matematiksel algoritmalarla okunamaz hale getirir, yetkisiz kişiler tarafından okunmaz hale gelmesini sağlıyor. Böyle verinin hem iletilmesi aşamasında hemde saklanması aşamasında güvenliği artırılmış oluyor. Bu şifreli veriler, saldırganlar tarafından ele geçirildiğinde ise, şifresini çözmedikleri için bir değeri de kalmıyor.
Durağan Veri Nedir?
Durağan veri (data at rest); depolama sistemlerinde ki hareketsiz olarak duran, yani iletim katmanında bulunmayan veriye verilen isimdir. Yani bir sunucuda, depolama biriminde, bulutta, veri tabanında veya harici bir diskte bulunan fakat aktif olarak veri görmeyen veridir. Bu tür veriler, en çok veri ihlali yaşanan kısım olarak karşımıza çıkıyor. Saldırganlar, aktif iletim katmanında dolaşan veriyi ele geçiremeseler bile, durağan veriye ulaşarak kritik datalara ulaşmaya çalışırlar.
Durağan Veride Şifrelemenin Önemi
Durağan veri, aktif iletim katmanında olmadığı için bir çok zaman korunması gözardı edilebiliyor ve verinin unutlması söz konusu olabiliyor. Ancak, siber saldırganlar bu unutkanlığın veya göz ardı edilmeyi çok rahat kullanabiliyorlar. Bu sebeple, durağan verinin şifrelenmesi, datanın korunması ve veri ihlali konusunda oldukça önemli bir adım olarak kabul edilir. Saldırganlar, erişim sistemlerini manipüle ederek, veriye yetkisiz erişim sağlasa bile, verinin şifreli olması nedeniyle engellenmiş olurlar.
Peki, sadece şifreleme tek başına yeterli midir?
Hardware Security Module (HSM) Nedir?
Bir verinin şifrelenmesi tek başına yeterli değildir. Şifrelediğiniz (encrypt) veriyi geri okunabilir hale getirebilmek için anahtarlarla çözmeniz (decrypt) gereklidir. HSM cihazları bu anahtarların korunması ve yönetilmesi için kullanılan, donanım seviyesinde bir çözümdür.
HSM’ler, kriptografik işlemleri donanım seviyesinde gerçekleştirerek yüksek güvenlik sağlar. Şifreleme, şifrelenmiş verinin doğru anahtarlarla çözme, dijital imzalama ve anahtar yönetimi gibi görevler HSM cihazları sayesinde yapılır. En önemli özelliklerinden biri de kriptografik anahtarların fiziksel olarak güvenli ortamda saklayabilmeleridir.
Durağan Veride HSM’in Rolü
Durağan verinin şifrelenmesinde ki en önemli adım, anahtarın güvenli bir şekilde yönetilmesidir. Buradaki kritik görevi ise HSM cihazları halleder. HSM cihazları, şifreleme anahtarlarının güvenliği için özel bir donanım mimarisine sahiptir. Anahtarların oluşturulması, saklanması ve yönetilmesi HSM ile gerçekleştirilir. Bu sayede anahtarlar, yazılımsal saldırılardan korunmuş olur.
HSM Çalışma Mantığı
Durağan veri, HSM cihazları aracılığı ile şifrelenirken aşağıdaki adımlar gerçekleşir;
- Anahtar Üretimi: HSM cihazı, kriptografi işlemi için güvenli bir anahtar oluşturur. Bu anahtarlar, dışarı aktarılamadığı için saldırılara karşı güvendedir.
- Anahtarın Saklanması: HSM içerisinde üretilen anahtarlar, donanımın dışarısına çıkarılamadan, cihazın içerisinde güvenlim bir şekilde saklanır. Böylece yazılım tabanlı saldırılardan etkilenme riski en aza indirilir.
- Şifreleme İşlemleri: Durağan veri, HSM tarafından oluşturulan anahtarlarla şifrelenir. Şifrelenen veri, sadece HSM üzerinde bulunan anahtarlarla okunabilir hale geleceği için, soğuk data olarak anlamsız hale gelir.
- Anahtar Yönetimi: HSM cihazları, şifreleme anahtarlarının yaşam döngüsünü, yani; oluşturma, yenileme, iptal etme gibi işlemleri güvenli bir şekilde yönetir. Bu sayede anahtarlar sürekli olarak güvende olur.
HSM Mimarisi
HSM cihazları, temelde iki yapıdan oluşur. Bunlar Kriptografik İşlem Birimi ve Güvenli Anahtar Saklama Birimi
- Kriptografik İşlem Birimi (Cryptographic Processing Unit): Bu birim, AES, RSA, ECC (Elliptic Curve Cryptography) gibi algoritmaları kullanarak şifreleme işlemlerini gerçekleştirir. Donanım bazlı olduğu için yazılım tabanlı çözümlere kıyasla daha güvenli ve hızlıdır.
- Güvenli Anahtar Saklama Birimi (Secure Key Storage Unit): Anahtarların fiziksel olarak saklandığı bu birim, cihazın dışına veri sızmasını önlemek amacıyla tasarlanmıştır. Bu birim genellikle saldırılara dayanıklı bir fiziksel koruma katmanına sahiptir. Fiziksel güvenlik önlemleri arasında manyetik alan koruması, titreşim sensörleri ve donanım tabanlı izinsiz müdahale tespit mekanizmaları bulunur.
HSM’in Şifreleme Anahtalarını Koruma Süreci
HSM’lerin anahtar yönetiminde sağladığı en büyük avantaj, anahtarların hiçbir zaman cihaz dışına çıkmamasıdır. Bu güvenlik, iki aşamalı bir işlemle sağlanır:
- Anahtar Üretimi ve Saklama: HSM içerisinde üretilen şifreleme anahtarları, yalnızca bu cihazda saklanır. Anahtarlar, fiziksel ve yazılımsal saldırılara karşı korunaklıdır ve dışarıya sızmaları mümkün değildir. Bu sayede, veri ihlali riskleri büyük ölçüde azalır.
- Kriptografik İşlemler: Veriler, HSM içerisinde saklanan anahtarlar ile şifrelenir. Şifreleme işlemi sırasında anahtarlar, cihaz dışına çıkmadan kullanılır. Aynı şekilde şifre çözme işlemleri de HSM içinde gerçekleştirilir.
HSM’in Güvenlik Sertifikaları ve Uyumluluğu
Birçok HSM cihazı, uluslararası güvenlik standartlarına uygun olarak sertifikalandırılmıştır. PCI HSM 4.0, CC EAL 4+ gibi sertifikalar, HSM’lerin belirli güvenlik kriterlerini karşıladığını gösterir. Bu tür sertifikalar, düzenleyici gereksinimlere uyum sağlamada kritik rol oynar.
Birçok HSM üreticisi bulunmakta. IBM, Entrust, Utimaco, Gemalto ve Thales gibi yabancı üreticilerin yanı sıra, Türkiye’den öne çıkan yerli üreticiler de var. Bu üreticilerden biri olan Procenne, yerli HSM çözümleriyle dikkat çekiyor. Yerli HSM üreticilerini desteklemek, hem yerli teknolojilerin gelişmesine katkıda bulunur hem de siber güvenlik alanında daha bağımsız bir altyapı sağlar.
HSM Örnek Kullanım Senaryoları
Senaryo | Açıklama | HSM Rolü | Teknik Detay |
Durağan Veriyi Şifreleme (Data at Reset Encryption) | Durağan veri, veri merkezlerinde veya bulutta saklanan hareketsiz veriridir.Bu verilerin şifrelenmesi gerekir. | HSM, durağan veriyi şifrelemek için gerekli anahtarların güvenli bir şekilde oluşturulmasını, saklanmasını ve yönetilmesini sağlar. Şifreleme işlemi için kullanılan anahtarların dışarı sızmaması HSM tarafından güvence altına alınır. | HSM cihazı, AES gibi simetrik şifreleme algoritmaları kullanarak disk üzerindeki verileri şifreler. Anahtarlar, HSM içinde saklanarak yetkisiz erişimlere karşı koruma sağlar. |
Anahtar Yönetimi (Key Management) | Büyük kuruluşlar ve banka gibi organizasyonlar, hassas işlemleri yönetmek ve güvenliğini sağlamak sağlamak için çok sayıda şireleme anahtarını güvenli bir şekilde yönetmek zorundadır. | HSM, anahtarların yaşam döngüsünü (oluşturma, dağıtma, iptal etme) güvenli bir şekilde yönetir. Anahtarların sürekli güncel kalması ve her işlem için güvenli bir şekilde kullanılması sağlanır. | HSM üzerinde güvenli anahtar depolama birimi bulunur. Ayrıca, anahtar döndürme ve iptal etme gibi işlemler donanım tabanlı güvenlik standartlarına uygun bir şekilde gerçekleştirilir. |
Dijital İmzalama (Digital Signing) | Elektronik belgelerin doğruluğunu ve bütünlüğünü sağlamak için dijital imzalar kullanılır. | HSM, dijital imza için kullanılan özel anahtarları güvenli bir şekilde saklar ve imzalama işlemi donanım tabanında gerçekleştirilir. | RSA, ECDSA gibi asimetrik kriptografik algoritmalar kullanılarak imza işlemleri gerçekleştirilir. Özel anahtar HSM içinde saklanır ve işlem sırasında dışarıya çıkmaz. |
SSL/TLS Anahtar Yönetimi | Web siteleri, verileri şifrelemek ve şifreli iletişim sağlamak için SSL/TLS sertifikalarını kullanırlar. Sertifika anahtarlarının güvenli şekilde korunması ve yönetilmesi önemlidir. | HSM, SSL/TLS sertifikalarının şifreleme anahtarlarını güvenli bir şekilde saklar ve bu anahtarların yönetimini sağlar. Böylece web sitesi trafiği güvenli hale getirilir. | HSM, sunucunun SSL/TLS işlemleri sırasında kullanılan özel anahtarları saklar. Bu sayede anahtarlar güvenli bir şekilde tutulur ve yetkisiz erişime karşı korunur. |
Ödeme Sistemlerinde Güvenlik (Payment Security) | Finansal kuruluşlar, ödeme ağlarında kullanılan kart numaralarını, PIN’lerini ve diğer hassas bilgileri güvence altına almalıdırlar. | HSM, finansal sistemlerde PIN kodlarını ve kart verilerini şifreleyerek güvenli bir ortam sağlar. Ayrıca kart doğrulama ve şifre çözme işlemleri de güvenli bir şekilde gerçekleştirilir. | HSM, PCI-DSS (Payment Card Industry Data Security Standard) gibi standartlara uygun olarak kart verilerini güvenli bir şekilde şifreler. Ayrıca PIN doğrulama işlemleri için HSM kullanılır. |
Veritabanı Şifreleme (Database Encryption) | Hassas verilerin bulunduğu veri tabanlarının şifrelenmesi ve anahtarların güvenli yönetimi kritik öneme sahiptir. | HSM, veri tabanlarında saklanan hassas verilerin şifrelenmesi ve kullanılan şifreleme anahtarlarının güvenli bir şekilde saklanması için kullanılır. | HSM, veri tabanındaki veriler için kullanılan şifreleme anahtarlarını oluşturur ve saklar. Anahtarlar HSM’den çıkmaz ve şifreleme/deşifre işlemleri HSM üzerinden yapılır. |