HSM (Hardware Security Module), kriptografik anahtarların güvenli şekilde oluşturulması, saklanması ve kullanılması için tasarlanmış özel bir donanımdır. Kod imzalama dünyasında HSM, özel anahtarınızın en güvenli şekilde korunmasını sağlar.
HSM Nedir?
Hardware Security Module, kriptografik işlemler için optimize edilmiş, fiziksel ve yazılımsal saldırılara karşı korumalı bir donanımdır. HSM içinde:
- Kriptografik anahtarlar oluşturulur (True Random Number Generator)
- Anahtarlar güvenli bellekte saklanır
- İmzalama ve şifreleme işlemleri donanım içinde gerçekleşir
- Anahtar hiçbir koşulda donanım dışına çıkamaz
FIPS 140-2 Güvenlik Seviyeleri
| Seviye | Gereksinimler | Kullanım Alanı |
|---|---|---|
| Level 1 | Temel algoritma doğruluğu | Yazılım kriptografi |
| Level 2 | Fiziksel müdahale kanıtı (tamper evidence) | USB Token (eski EV) |
| Level 3 | Fiziksel müdahale direnci (tamper resistance) | Cloud HSM, Kurumsal HSM |
| Level 4 | Çevresel saldırı koruması | Askeri/devlet sistemleri |
2026 gereksinimleri: CA/Browser Forum, tüm kod imzalama sertifikaları için minimum FIPS 140-2 Level 2 zorunlu kılmıştır. Cloud HSM platformları Level 3 sunar, bu da USB tokendan bir kademe daha güvenlidir.
Cloud HSM vs Fiziksel HSM vs USB Token
| Kriter | Cloud HSM | Fiziksel HSM | USB Token (Eski) |
|---|---|---|---|
| FIPS Seviyesi | Level 3 | Level 3-4 | Level 2 |
| Maliyet | Düşük (platform dahil) | Çok yüksek ($5K-50K) | Düşük ($50-100) |
| Uzaktan Erişim | ✅ Her yerden | ❌ Fiziksel erişim | ❌ Fiziksel erişim |
| CI/CD Uyumu | ✅ API tabanlı | ⚠️ Karmaşık | ❌ İmkansız |
| Yönetim | Platform tarafından | Şirket tarafından | Kullanıcı tarafından |
| 2026 Uyumu | ✅ | ✅ | ❌ Artık üretilmiyor |
HSM Tabanlı Kod İmzalama Nasıl Çalışır?
- Anahtar Oluşturma: HSM içinde RSA 2048/4096 veya ECDSA P-256/P-384 anahtar çifti oluşturulur
- CSR Üretimi: Public key ile Certificate Signing Request oluşturulur
- Sertifika Düzenleme: CA, CSR temelinde EV sertifika düzenler
- İmzalama: Dosya hash değeri HSM'e gönderilir, HSM özel anahtar ile imzalar
- Doğrulama: İmza, sertifikadaki public key ile herkes tarafından doğrulanabilir
Cloud HSM Platformları
Certum SimplySign
Certum tarafından yönetilen cloud HSM. Mobil uygulama ile 2FA onay. SignTool uyumlu. En uygun fiyat.
DigiCert KeyLocker
DigiCert ONE platformu üzerinde kurumsal HSM. REST API ve PKCS#11 desteği. Enterprise seviye.
AWS CloudHSM / Azure Dedicated HSM
Kendi HSM donanımınızı bulut üzerinde kullanma seçeneği. Daha pahalı ancak tam kontrol. Genellikle büyük kurumsal müşteriler tercih eder.
Sıkça Sorulan Sorular (FAQ)
HSM olmadan kod imzalama yapabilir miyim?
2026 itibarıyla hayır. CA/Browser Forum kuralları gereği tüm yeni kod imzalama sertifikalarının özel anahtarları HSM üzerinde saklanmak zorundadır. Yazılım tabanlı anahtar depolama artık kabul edilmemektedir.
Cloud HSM güvenilir mi? Anahtar çalınabilir mi?
Cloud HSM, FIPS 140-2 Level 3 sertifikalıdır ve fiziksel müdahaleye karşı dirençlidir. Anahtar HSM donanımı dışına çıkamaz. Sağlayıcı bile anahtarınıza erişemez. Bu, kriptografi alanındaki en yüksek ticari güvenlik standardıdır.
Kendi HSM donanımımı almam gerekir mi?
Hayır. Cloud HSM platformları (Certum SimplySign, DigiCert KeyLocker vb.) HSM maliyetini sertifika fiyatına dahil eder. Kendi HSM donanımınızı yalnızca çok özel güvenlik gereksinimleri veya düzenleyici zorunluluklar varsa almanız gerekir.
Yorumlar
Henüz yorum yapılmamış. İlk yorumu siz yapın!
Yorum Yaz