Cloud EV Kod İmzalama kavramını kavradık, artık perde arkasına bakma zamanı. Bu makalede HSM mimarisi, API akışı, hash imzalama süreci ve PKCS#11 katmanını teknik derinlikte inceliyoruz.
Üst Düzey Mimari
Cloud EV Kod İmzalama, 4 temel katmandan oluşur:
- İstemci Katmanı: SignTool, platform CLI veya özel uygulama (SimplySign Desktop)
- API Katmanı: REST API veya PKCS#11 arayüzü ile iletişim
- Uygulama Katmanı: Kimlik doğrulama, yetkilendirme, rate limiting, logging
- HSM Katmanı: FIPS 140-2 Level 3 sertifikalı donanımda anahtar ve imzalama işlemleri
İmzalama Akışı (Step by Step)
Adım 1: Hash Hesaplama (İstemci Tarafı)
# İstemci dosyanın SHA-256 hash'ini hesaplar
# Dosyanın kendisi ASLA sunucuya gönderilmez
$hash = (Get-FileHash -Algorithm SHA256 .\myapp.exe).Hash
# Örnek: A3B2C4D5E6F7A8B9C0D1E2F3A4B5C6D7E8F9A0B1C2D3E4F5A6B7C8D9E0F1A2B3Adım 2: Kimlik Doğrulama
İstemci, API anahtarı veya OAuth token ile platforma kimliğini kanıtlar. Certum SimplySign ayrıca mobil uygulama üzerinden 2FA onayı ister.
Adım 3: Hash Gönderimi
# Hash değeri API'ye gönderilir
POST /api/v1/sign
{
"hash": "A3B2C4D5E6F7...",
"algorithm": "SHA256",
"credential_id": "ev-cert-001",
"timestamp": true
}Adım 4: HSM İçi İmzalama
HSM donanımı içinde şu işlem gerçekleşir:
- Özel anahtar HSM belleğinden okunur (HSM dışına çıkmaz)
- Hash değeri RSA veya ECDSA algoritması ile imzalanır
- PKCS#7 (CMS) formatında imza bloğu oluşturulur
- İsteğe bağlı olarak RFC 3161 timestamp eklenir
Adım 5: İmza Dönüşü
# API yanıtı
{
"signature": "MIIG7gYJKoZIhvcNA...",
"timestamp": "2026-03-28T09:30:00Z",
"certificate_chain": ["MIIFjTCC...", "MIIEtjCC..."]
}Adım 6: İmza Ekleme (İstemci Tarafı)
İstemci, dönen imzayı Authenticode formatına uygun şekilde dosyanın PE yapısına ekler.
HSM Güvenlik Detayları
| Özellik | Açıklama |
|---|---|
| Sertifikasyon | FIPS 140-2 Level 3 veya Common Criteria EAL4+ |
| Anahtar Üretimi | HSM içinde True Random Number Generator (TRNG) |
| Anahtar Dışa Aktarımı | İmkansız; anahtar HSM dışına çıkamaz |
| Tamper Protection | Fiziksel müdahale algılandığında anahtar silinir |
| Erişim Kontrolü | Rol bazlı erişim, 2FA, IP kısıtlama |
PKCS#11 Entegrasyonu
PKCS#11, HSM cihazlarıyla iletişim için standart bir API arayüzüdür. Cloud Kod İmzalama platformları, PKCS#11 uyumlu bir kütüphane sunar. Bu kütüphane, HSM ile doğrudan donanım erişimi yerine HTTP/TLS üzerinden iletişim kurar.
# DigiCert KeyLocker PKCS#11 yapılandırma örneği
# pkcs11-config.json
{
"library_path": "C:\\Program Files\\DigiCert\\smpkcs11.dll",
"token_label": "DigiCert Signing Manager",
"pin": "env:SM_API_KEY"
}
# SignTool otomatik olarak PKCS#11 üzerinden HSM ile iletişim kurar
signtool sign /sha1 FINGERPRINT /tr http://timestamp.digicert.com /td sha256 /fd sha256 myapp.exeSıkça Sorulan Sorular (FAQ)
Dosyam sunucuya yükleniyor mu?
Hayır. Yalnızca dosyanın hash (özet) değeri gönderilir. Dosyanın kendisi hiçbir zaman istemciden ayrılmaz. Bu hem gizliliği hem de performansı korur (büyük dosyalar bile hızlı imzalanır).
İmzalama hızı ne kadar?
Hash hesaplama istemci tarafında gerçekleşir ve dosya boyutuna bağlıdır (genellikle saniyeler). API üzerinden imzalama işlemi ise tipik olarak 1-5 saniye sürer. Toplam süre, internet hızınıza ve dosya boyutuna göre değişir ancak çoğu durumda 10 saniyenin altındadır.
Özel anahtarımı yedekleyebilir miyim?
Hayır ve bu kasıtlıdır. Özel anahtar HSM içinde oluşturulur ve hiçbir zaman dışarı çıkamaz. Yedekleme, HSM üreticisinin sağladığı HSM-to-HSM replikasyon mekanizması ile yapılır. Bu, anahtarın çalınma riskini sıfıra indirir.
Yorumlar
Henüz yorum yapılmamış. İlk yorumu siz yapın!
Yorum Yaz