FIPS 140-2 (Federal Information Processing Standard), ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından yayımlanan, kriptografik modüllerin güvenlik gereksinimlerini tanımlayan uluslararası standarttır. HSM cihazları, SSL sertifikaları ve kod imzalama süreçlerinde temel referans noktasıdır.
FIPS 140-2 Nedir?
FIPS 140-2, kriptografik donanım ve yazılım modüllerinin güvenliğini derecelendiren bir standarttır. 2001 yılında yayınlanmış olup, tüm dünyada kabul görmektedir. Bu standart:
- Kriptografik algoritmaların doğru uygulandığını
- Anahtarların güvenli şekilde oluşturulduğunu ve saklandığını
- Fiziksel güvenlik önlemlerinin yeterli olduğunu
- Operasyonel güvenlik prosedürlerinin uygulandığını
doğrulamak için kullanılır.
FIPS 140-2 Güvenlik Seviyeleri
Level 1 — Temel Güvenlik
En düşük güvenlik seviyesidir. Onaylanmış kriptografik algoritmaların kullanılmasını gerektirir. Fiziksel güvenlik gereksinimleri yoktur. Yazılımsal kriptografik modüller bu seviyeye girer.
- Kullanım: Yazılım tabanlı şifreleme kitaplıkları
- Fiziksel koruma: Yok
- Örnek: OpenSSL kriptografik modülü
Level 2 — Tamper-Evident (Müdahale İzli)
Level 1'in tüm gereksinimlerine ek olarak, fiziksel müdahale izlerinin görülebilir olmasını (tamper-evident) zorunlu kılar. Cihaz kapakları, mühürler veya özel kaplama ile korunur.
- Kullanım: USB Token HSM cihazları
- Fiziksel koruma: Müdahale izleri görülür
- Örnek: SafeNet eToken 5110, YubiKey FIPS
Level 3 — Tamper-Resistant (Müdahaleye Dayanıklı)
Level 2'ye ek olarak, fiziksel müdahaleye karşı aktif koruma sağlar. Cihaz açılmaya çalışıldığında içindeki anahtarlar otomatik olarak silinir (zeroization). Cloud HSM çözümleri ve profesyonel veri merkezi HSM'leri bu seviyededir.
- Kullanım: Cloud HSM, profesyonel HSM cihazları
- Fiziksel koruma: Aktif koruma, otomatik anahtar imhası
- Örnek: AWS CloudHSM, Azure Dedicated HSM, Thales Luna
Level 4 — En Yüksek Güvenlik
En yüksek güvenlik seviyesidir. Çevresel saldırılara (voltaj, sıcaklık değişiklikleri) karşı da koruma sağlar. Askeri ve istihbarat uygulamalarında kullanılır.
- Kullanım: Askeri, istihbarat, kritik altyapı
- Fiziksel koruma: Çevresel saldırılara karşı tam koruma
- Örnek: Özel askeri HSM cihazları
FIPS 140-2 ve Kod İmzalama
CA/Browser Forum, Haziran 2023 itibarıyla tüm Kod İmzalama Sertifikaları için minimum FIPS 140-2 Level 2 gerekliliğini zorunlu kıldı. Bu karar, yazılım supply chain saldırılarını önlemeye yönelik kritik bir adımdır.
Neden Zorunlu?
Geçmişte bir özel anahtar dosyada (PFX/P12) saklanabiliyordu. Bu durum ciddi güvenlik riskleri barındırıyordu:
- Anahtarın kopyalanarak kötü niyetli kullanılması
- Malware tarafından anahtarın çalınması
- Yetkisiz kişilerin erişimi
FIPS 140-2 sertifikalı HSM'ler bu riskleri ortadan kaldırır çünkü özel anahtar asla HSM dışına çıkmaz.
FIPS 140-2 vs FIPS 140-3
FIPS 140-3 standardı 2019'da yayınlanmıştır ve FIPS 140-2'nin yerini almaktadır. Temel farklar:
| Özellik | FIPS 140-2 | FIPS 140-3 |
|---|---|---|
| Yayın Tarihi | 2001 | 2019 |
| Güvenlik Seviyeleri | 4 seviye | 4 seviye (güncellenmiş) |
| Test Standardı | Özel | ISO/IEC 19790 tabanlı |
| Geçerlilik | Hala kabul ediliyor | Yeni başvurular için tercih |
HSM Alırken FIPS Sertifikasını Kontrol Edin
Bir Cloud HSM veya fiziksel HSM çözümü seçerken mutlaka FIPS sertifikasını kontrol edin:
- NIST web sitesinde sertifika numarasını doğrulayın
- Level 2 minimum, Level 3 önerilen seviyedir
- Sertifikanın geçerlilik tarihinin dolmadığından emin olun
- Kod imzalama için Level 3 tercih edin
Sonuç
FIPS 140-2, kriptografik güvenliğin altın standardıdır. Kod imzalama sertifikanızın özel anahtarını korumak için minimum FIPS 140-2 Level 2, ideal olarak Level 3 sertifikalı bir HSM kullanmanız zorunludur. Cloud HSM çözümleri, Level 3 güvenliği bulut üzerinden kolayca erişilebilir hale getirir.
Yorumlar
Henüz yorum yapılmamış. İlk yorumu siz yapın!
Yorum Yaz