Kod imzalama sertifikalarında yeni bir dönem başladı. HSM (Hardware Security Module) tabanlı cloud sistemler, yazılım güvenliğinin geleceğini şekillendiriyor. CA/Browser Forum kuralları ile zorunlu hale gelen HSM kullanımı, cloud platformlar sayesinde her ölçekten geliştiricinin erişimine açıldı.
HSM (Hardware Security Module) Nedir?
HSM, kriptografik anahtarları güvenli şekilde oluşturmak, saklamak ve kullanmak için tasarlanmış özel donanım cihazıdır. Genel amaçlı bilgisayarlardan farklı olarak, HSM cihazları fiziksel ve mantıksal saldırılara karşı özel koruma mekanizmalarına sahiptir.
HSM Temel Özellikleri
- Korumalı anahtar depolama: Özel anahtarlar HSM içinde oluşturulur ve saklanır, hiçbir zaman dışarı çıkmaz
- Kurcalama koruması (Tamper Protection): Fiziksel müdahale tespit edildiğinde anahtarlar otomatik silinir
- Kriptografik hızlandırma: RSA, ECDSA gibi işlemler donanım düzeyinde hızlandırılır
- Rastgele sayı üretimi (TRNG): Gerçek donanım tabanlı rastgele sayı üreteci
- Erişim kontrolü: Çok faktörlü kimlik doğrulama ile yetkisiz erişimi engeller
FIPS 140-2 Sertifikasyonu
FIPS 140-2, ABD hükümeti tarafından yayınlanan ve kriptografik modüllerin güvenlik gereksinimlerini belirleyen standarttır:
| Seviye | Gereksinimler | Kullanım Alanı |
|---|---|---|
| Level 1 | Temel güvenlik, yazılım tabanlı şifreleme yeterli | Genel kullanım |
| Level 2 | Kurcalama kanıtı (tamper evidence), rol tabanlı kimlik doğrulama | USB Token, temel HSM |
| Level 3 | Aktif kurcalama koruması, kimlik tabanlı erişim, anahtar yönetimi | Cloud HSM, kurumsal HSM |
| Level 4 | Tam çevresel koruma, anında anahtar silme | Askeri, istihbarat |
Cloud kod imzalama platformlarının tamamı en az FIPS 140-2 Level 3 sertifikalı HSM cihazları kullanır.
Fiziksel HSM vs Cloud HSM
| Kriter | Fiziksel HSM | Cloud HSM |
|---|---|---|
| Başlangıç Maliyeti | $10.000 - $50.000+ | $300 - $1.000/yıl |
| Bakım | Firma sorumlu | Sağlayıcı sorumlu |
| Fiziksel Alan | Veri merkezi veya güvenli oda gerekli | Gerekli değil |
| Ölçeklenebilirlik | Yeni cihaz gerekli | Anında ölçeklenir |
| Yedeklilik | İkinci cihaz gerekli | Otomatik geo-redundancy |
| Uzaktan Erişim | VPN + ağ yapılandırması | API ile her yerden |
| Güvenlik Seviyesi | FIPS 140-2 Level 3-4 | FIPS 140-2 Level 3 |
| İdeal Kullanıcı | Büyük kurumlar, özel gereksinimler | Her ölçekten geliştirici |
Cloud HSM ile Kod İmzalama Nasıl Çalışır?
- İstemci tarafında hash hesaplama: İmzalanacak dosyanın SHA-256 hash değeri yerel bilgisayarda hesaplanır.
- Hash gönderimi: Hash değeri TLS 1.3 ile şifrelenmiş bağlantı üzerinden cloud HSM sunucusuna iletilir.
- HSM içinde imzalama: HSM, hash değerini saklamakta olduğu özel anahtar ile imzalar. Tüm kriptografik işlem HSM donanımı içinde gerçekleşir.
- İmza dönüşü: İmzalanmış hash değeri istemciye geri gönderilir.
- Dosyaya ekleme: İstemci, dijital imzayı dosyaya ekler (Authenticode, JAR signing vb.).
Bu süreçte özel anahtar hiçbir zaman HSM dışına çıkmaz ve dosyanın tamamı sunucuya gönderilmez.
Piyasadaki Cloud HSM Platformları
Sertifika Otoritelerinin Platformları
- Certum SimplySign: Mobil onay destekli, en uygun fiyatlı platform
- DigiCert KeyLocker: Enterprise seviye, en geniş API desteği
- Sectigo CodeSignTrust: Dengeli özellikler, güçlü CLI
- GlobalSign HVCI Cloud: Sürücü imzalama uzmanı
Genel HSM-as-a-Service Platformları
- AWS CloudHSM: Amazon Web Services tabanlı, FIPS 140-2 Level 3
- Azure Dedicated HSM: Microsoft Azure tabanlı, Thales Luna HSM
- Google Cloud HSM: Google Cloud tabanlı, Cloud KMS entegrasyonu
- Thales DPoD (Data Protection on Demand): Luna HSM cloud versiyonu
Gelecek: FIPS 140-3 ve Post-Quantum
HSM teknolojisi durmaksızın gelişiyor:
- FIPS 140-3: FIPS 140-2 standardının yerini alacak yeni standart, daha katı güvenlik gereksinimleri getirmektedir.
- Post-Quantum Kriptografi: Kuantum bilgisayarların mevcut kriptografik algoritmaları kırma potansiyeline karşı, HSM üreticileri post-quantum algoritma desteği üzerinde çalışmaktadır. CRYSTALS-Dilithium ve FALCON gibi algoritmalar test edilmektedir.
- Confidential Computing: Intel SGX ve AMD SEV gibi güvenli enclave teknolojileri, HSM güvenliğini yazılım düzeyine taşımayı hedeflemektedir.
Sıkça Sorulan Sorular (FAQ)
HSM olmadan kod imzalama sertifikası alabilir miyim?
Haziran 2023 sonrası düzenlenen tüm kod imzalama sertifikaları için HSM zorunludur. Cloud HSM veya fiziksel HSM kullanmanız gerekmektedir. Cloud HSM seçeneği ile ek donanım maliyeti olmadan bu zorunluluğu karşılayabilirsiniz.
Cloud HSM ne kadar güvenilir (uptime)?
Profesyonel cloud HSM sağlayıcıları %99.9+ uptime garantisi sunar. Coğrafi yedeklilik (en az 2 farklı veri merkezi) sayesinde tek bir lokasyondaki arıza bile hizmet kesintisine yol açmaz.
HSM cihazının ömrü ne kadardır?
Cloud HSM kullanıcıları için bu bir endişe konusu değildir; donanım yenileme sağlayıcının sorumluluğundadır. Fiziksel HSM cihazlarının tipik ömrü 7-10 yıldır, ancak firmware güncellemeleri ile uzatılabilir.
Kendi AWS/Azure HSM ile cloud kod imzalama yapabilir miyim?
Evet, bazı sertifika otoriteleri BYOH (Bring Your Own HSM) seçeneği sunar. AWS CloudHSM veya Azure HSM üzerinde sertifikanızın özel anahtarını barındırabilirsiniz. Ancak bu yapılandırma teknik olarak daha karmaşıktır ve kurumsal kullanım için uygundur.
Yorumlar
Henüz yorum yapılmamış. İlk yorumu siz yapın!
Yorum Yaz