HSM CİHAZLARI
Şebnem Sönmez
Ders: Kriptolojiye Giriş & Kriptoloji ve Güvenlik Protokolleri
Eğitmen: Mehmet Fatih ZEYVELİ
Nisan 2021
İÇİNDEKİLER
- KONU ÖZET
- 1.1. ÖZET
2. HSM TANIMI VE SINIFLANDIRMASI
2.1 HSM NEDİR ?
2.2. FİZİKSEL YAPILARINA GÖRE HSM CİHAZLARI
2.3. KULLANIM AMAÇLARINA GÖRE HSM CİHAZLARI
3. HSM TARAFINDAN KULLANILAN ANAHTAR TÜRLERİ
3.1. LOCAL MASTER KEY (LMK)
3.2. ZONE MASTER KEY (ZMK)
3.3. ZONE PIN KEY (ZPK)
3.4. TERMINAL MASTER KEY (TMK)
3.5. TERMINAL PIN KEY (TPK)
3.6. TERMINAL AUTHENTICATION KEY (TAK)
3.7. PIN VERIFICATION KEY (PVK)
3.8. CARD VERIFICATION KEY (CVK)
KAYNAKÇA
1. KONU ÖZET
1.1.ÖZET
Hassas verilerin korunması amacıyla şifreleme yöntemlerinin kullanılması ile birlikte şifreleme anahtarlarının yaşam döngüsünü yönetmek de karmaşık bir hal almıştır. Şifreleme anahtarlarının yaşam döngüsü içerisinde üretilmesi, depolanması, içe / dışa aktarılması, dağıtım, rotasyon, değiştirme, yedekleme, imha etme vb. gibi işlemleri güvenli bir ortamda yapılmasını gerektirmektedir. Bu ihtiyacın ortaya çıkması ile birlikte bu şifreleme anahtarlarını yönetmek için özel donanımlar üretilmiştir.
Donanım Güvenlik Modülü (Hardware Security Module — HSM) cihazları, verileri şifrelemek ve şifresini çözmek, dijital imzalar ve sertifikalar oluşturmak için üretilen anahtarları koruyan ve kripto işlemlerinin güvenli bir şekilde yapılmasını sağlayan donanımlardır. HSM cihazları akıllı kart, taşınabilir cihaz, kriptografik kart, bağımsız cihaz ya da bulut üzerinden sunulan bir servis olabilir.
Finans, sağlık kuruluşları ve devlet kurumları başta olmak üzere birçok kurumun GDPR, eIDAS, FIPS 140, Common Criteria, HIPAA, PCI-DSS ve diğer regülasyonlara uyumlu olma zorunlulukları vardır. Bu regülasyonlara tabii olan kurumların HSM cihazlarını altyapılarına ekleyerek bu isterlere karşılık vermeleri gerekmektedir.
2. HSM TANIMI VE SINIFLANDIRMASI
2.1.HSM (HARDWARE SECURITY MODULE) NEDİR ?
HSM (Hardware Security Modules) kriptografik anahtarları ve kripto işlemlerinin güvenliğini sağlamak amacıyla özel olarak üretilmiş donanımlardır. Hassas verilerin yetkili alıcılar dışında hiçbir şekilde çözülemez hale getirilmesi sürecinin tam ortasında bulunan bu cihazlar, verileri şifrelemeye yarayan şifreleme anahtarlarının özel bir ortamda saklanmasına yardımcı olur. Güvenli bir bağlantı üzerinden HSM cihazına bir bilgi gönderildiğinde, HSM cihazı ilgili anahtarı kullanarak bu veriyi şifreler ya da şifresini çözer.
Tamper Protection (Kurcalama Koruması) özelliği ile donatılan HSM cihazları uyarı ve log bilgisi gibi kurcalama delili sayılan tespitler sonrası kendilerini sıfırlama kabiliyetine sahiptirler. Common Criteria ve FIPS 140 gibi uluslararası standartlar ile sertifikalandırılan HSM cihazları kurumların uygulama ve altyapı güvenliklerinde önemli bir yere sahiptirler.
Bir HSM tarafından üretilen tüm şifreleme anahtarları random olmak zorundadır. Ancak bilgisayarlar sonlu-durumlu bir makine oldukları için random değerin gerçekliği değerini yitirmektedir. Bu sebeple gerçekten random değer ve anahtar üretilebilmesi için benzersiz bir fiziksel işlem kullanılması gerekmektedir. HSM cihazları random değerler üretilmesini sağlayan fiziksel işlemleri içerisinde barındıran özel bir donanımdır.
Harici ve dahili olmak üzere iki tipte sunulmuş olup kullanım amaçlarına göre sınıflandırılmaktadırlar.
2.2.FİZİKSEL YAPISINA GÖRE HSM CİHAZLARI
HSM cihazları harici ve dahili olmak üzere iki fiziksel yapıda üretilmektedir.
· Dahili HSM’ler ; kart şeklinde üretilen bu model mevcut kurumun altyapısında bulunan sunucular üzerine takılarak çalışmaktadır.
Resim 1: PCI Kart
· Harici HSM’ler ; tek başına mevcut kurumun altyapısına özel bir kablo ile ya da thernet portu üzerinden bağlanarak çalışmaktadır.
· Bulut üzerinde HSM (as-a-service): genel kullanım amacı için birçok üretici firma kendi altyapıları üzerinden bir servis olarak sağlamaktadırlar. PCI DSS için kullanışlı olsa da PCI PIN, PCI P2PE ya da PCI 3DS regülasyonları için uygun değildir.
2.3.KULLANIM AMAÇLARINA GÖRE HSM CİHAZLARI
HSM cihazları ödeme amaçlı ve genel kullanım amaçlı olmak üzere iki kategori olarak sınıflandırılmaktadır.
· Ödeme amaçlı HSM’ler; elektronik para gönderme, kredi kartı ile ödeme, kart şifre bilgisi vb. gibi tüm bankacılık işlemlerinde kullanılan şifrelerin korunması için kullanılmaktadır. PCI DSS olarak kısaltılan “Payment Card Industry Security Standards Council” konseyi, tüm ödeme sistemleri kullanan kurumların uyması gereken yasal yükümlülükleri düzenleyen bir konseydir. Kart bilgisi kabul eden, depolayan, işleyen tüm kurumlar bu güvenlik standartlarına uymak zorundadırlar.
· Genel kullanım amaçlı HSM’ler ; cihaz üzerinde korunan elektronik mali mühürler ile e-fatura, e-yazışma- e-tebligat ya da elektronik imza sertifikaları ile e-imzalama, dijital imzalama ve elektronik belgelerdeki imzaların doğrulanması vb. gibi şifreleme işlemleri için kullanılmaktadır.
3. HSM TARAFINDAN KULLANILAN ANAHTAR TÜRLERİ
3.1. LOCAL MASTER KEY (LMK)
HSM hizmet verdiği tüm dijital anahtarları şifrelemek için kendi üzerinde LMK (Local Master Key) adı verilen kök anahtar tutar. LMK anahtarı HSM üzerinde tutulan, depolanan ve korunan tek anahtardır. DES (Data Encryption Standard) ya da 3DES şifreleme algoritmasını içermektedir.
LMK’ler çiftler halinde oluşur: LMK çifti 02–03, LMK çifti 06–07 gibi. Farklı tipteki güvenlik anahtarlarını şifreleme /şifre çözme için farklı LMK çiftleri kullanılır. Tüm anahtarlar LMK anahtarının altında üretilir. Her bir kurum için birden fazla HSM cihazı olsa dahi sadece 1 tane LMK anahtarı vardır. LMK anahtarları veriyi şifrelemek için değil HSM cihazı ile üretilen diğer anahtarları şifrelemek ve şifrelerini çözmek için kullanılır.
HSM’e ürettirilen LMK anahtarı tek bir bütün halinde sadece bir kurum çalışanına teslim edilemez, bu sebeple genelde 3 bileşene bölünerek 3 farklı kurum çalışanına teslim edilir. Her bir kurum çalışanı akıllı kart kullanarak bu bileşeni HSM cihazına yükleyerek ZMK anahtarı formatına dönüştürür. ZMK formatına dönüşmüş bu anahtarlar XOR lanarak LMK anahtar formatına dönüştürülür.
Resim 2: LMK pairs
3.2. ZONE MASTER KEY (ZMK)
Bir anahtar bilgisinin paylaşımlı bir ağda farklı ortamlara transfer edilebilmesi için Değişim anahtarı (Interchange Key IK) olarak da bilinen Zone Master Key (ZMK) adı verilen anahtarlar kullanılır. LMK anahtarında da olduğu gibi Zone Master Key (ZMK), ikiye bölünmüş bir şekilde kurum çalışanlarına teslim edilir.
ZMK, şifrelediği Zone PIN Key (ZPK) anahtarının güvenli bir şekilde taşınmasını sağlar.
Resim 3: ZMK Zone Master Key
3.3. ZONE PIN KEY (ZPK)
Gönderici ve alıcı arasındaki transferlerde iletilen PIN bilgisini şifrelemek ve otomatik olarak dağıtmak için kullanılır. ZPK anahtarı , ZMK altında şifrelenir.
3.4.TERMINAL MASTER KEY (TMK)
Terminal Master Key (TMK), yerel bir ağda genellikle ATM / POS gibi terminallere veri şifreleme anahtarlarını dağıtan bir anahtardır.
Resim 4: TMK Terminal Master Key
3.5. TERMINAL PIN KEY
Terminal veri toplayıcı ile terminal arasındaki transferin otomatik olarak gerçekleşmesini ve bu transferde yer alan PIN bilgisinin şifrelenmesini sağlar. TPK anahtarı TMK anahtarı altında şifrelenir.
3.6. TERMINAL AUTHENTICATION KEY (TAK)
Yerel bir ağda, terminal veri toplayıcı ile terminal arasındaki veri transferinin gerçeklemesi ve doğrulanması için Message Authentication Code (MAC) üretir. Veri transferi için TAK anahtarları TMK ya da ZMK altında şifrelenirken, veri depolama için ise LMK çiftlerinin birinin altında şifrelenirler.
3.7. PIN VERIFICATION KEY (PVK)
PIN bilgisinin gerçekliğini doğrulamak için PIN doğrulama verilerinin oluşturulmasını sağlayan anahtardır. İletim için TMK ya da ZMK altında şifrelenirken, depolama için ise LMK çiftlerinin birinin altında şifrelenir.
3.8. CARD AUTHENTICATION KEY (CVK)
Kart bilgisinin doğrulanması için doğrulama verileri üretilmesini sağlayan anahtardır.
KAYNAKÇA
https://netzts.in/retail-payments-domain/hsm-lmk-zmk-tmk-pvk-cvk/
https://cpl.thalesgroup.com/encryption/hardware-security-modules