Kriptografik anahtarlar, dijital güvenliğin temelini oluşturur. Bu anahtarların güvenli şekilde oluşturulması, saklanması, kullanılması ve yaşam döngüsünün yönetilmesi kritik bir süreçtir. HSM (Hardware Security Module) cihazları, bu sürecin en güvenli şekilde gerçekleştirilmesini sağlar.
Anahtar Yaşam Döngüsü
Kriptografik anahtarların yaşam döngüsü 6 aşamadan oluşur:
- Oluşturma (Generation): Anahtarın HSM içinde güvenli rastgele sayı üreteci ile oluşturulması
- Saklama (Storage): Anahtarın HSM'in tamper-proof belleğinde şifrelenmiş saklanması
- Dağıtım (Distribution): Gerektiğinde anahtarın güvenli kanallar üzerinden paylaşılması (sadece public key)
- Kullanım (Usage): İmzalama, şifreleme, şifre çözme işlemlerinde kullanılması
- Rotasyon (Rotation): Belirli periyotlarda anahtarın yenilenmesi
- İmha (Destruction): Kullanım ömrü dolan anahtarın güvenli şekilde silinmesi
Anahtar Oluşturma
HSM'de anahtar oluşturma, yazılımsal yöntemlerden temel olarak farklıdır:
Donanımsal Rastgele Sayı Üreteci (TRNG)
HSM'ler, fiziksel fenomenlerden (termal gürültü, kuantum olaylar) yararlanarak gerçek rastgele sayılar üretir. Bu, yazılımsal sözde rastgele sayı üreticilerinden (PRNG) çok daha güvenlidir.
Desteklenen Algoritma ve Anahtar Boyutları
| Algoritma | Anahtar Boyutu | Kullanım Alanı |
|---|---|---|
| RSA | 2048, 3072, 4096 bit | Kod imzalama, SSL/TLS |
| ECDSA | P-256, P-384, P-521 | Kod imzalama, authentication |
| AES | 128, 192, 256 bit | Simetrik şifreleme |
| Ed25519 | 256 bit | Dijital imza |
Kod imzalama için önerilen: RSA 4096 veya ECDSA P-384
Güvenli Saklama
HSM'de anahtar saklama özellikleri:
- Non-exportable: Özel anahtar HSM dışına çıkarılamaz
- Şifrelenmiş bellek: Anahtarlar HSM'in kendi Master Key'i ile şifrelenir
- Tamper-proof: Fiziksel müdahalede anahtarlar otomatik silinir (zeroization)
- Erişim kontrolü: PIN, MFA veya sertifika tabanlı kimlik doğrulama
Anahtar Rotasyonu
Anahtar rotasyonu, güvenlik politikasının önemli bir parçasıdır. Kod imzalama anahtarları için önerilen rotasyon politikası:
Rotasyon Stratejileri
- Zaman bazlı: Her 1-3 yılda bir anahtar yenileme
- Olay bazlı: Güvenlik ihlali şüphesinde anında rotasyon
- Versiyon bazlı: Major yazılım sürümlerinde yeni anahtar
Rotasyon Süreci
- HSM'de yeni anahtar çifti oluştur
- Yeni public key ile CSR oluştur
- CA'dan yeni sertifika al
- CI/CD pipeline'da yeni sertifikayı yapılandır
- Eski anahtarla imzalanmış yazılımlar çalışmaya devam eder (zaman damgası sayesinde)
- Geçiş süresi sonunda eski anahtarı arşivle
Yedekleme ve Felaket Kurtarma
Cloud HSM Yedekleme
Cloud HSM sağlayıcılar otomatik yedekleme sunar:
- AWS CloudHSM: Otomatik cluster yedeklemesi, cross-region replikasyon
- Azure Key Vault: Soft-delete + purge protection, geo-replication
- Certum SimplySign: Otomatik anahtar yedekleme ve kurtarma
Fiziksel HSM Yedekleme
On-premise HSM cihazları için yedekleme seçenekleri:
- HSM cloning (aynı model cihaza anahtar kopyalama)
- Key wrapping ile şifrelenmiş yedek
- M-of-N anahtar bölümleme (quorum tabanlı yedekleme)
Denetim ve Uyumluluk
HSM anahtar yönetiminde denetim logları kritik öneme sahiptir:
- Her anahtar oluşturma, kullanma ve silme işlemi loglanmalı
- Erişim denemeleri (başarılı ve başarısız) kaydedilmeli
- Loglar değiştirilemez (immutable) formatta saklanmalı
- Düzenli güvenlik denetimleri yapılmalı
Sonuç
HSM anahtar yönetimi, dijital güvenliğin en kritik bileşenidir. Kod imzalama anahtarlarınızın HSM'de güvenle saklanması, doğru rotasyon politikalarının uygulanması ve denetim süreçlerinin işletilmesi, yazılımlarınızın güvenilirliğini garanti eder. Cloud HSM çözümleri bu süreci büyük ölçüde kolaylaştırır.
Yorumlar
Henüz yorum yapılmamış. İlk yorumu siz yapın!
Yorum Yaz