(Hardware Security Module) HSM
…Saklamanız ve Yönetmeniz gereken Daha fazla Şifreleme Anahtarı
Daha Fazla Şifreleme…
Şifreleme Anahtarlarını Kim
Kontrol Ediyor? Denetimden
Geçecekler mi?
Şifreleme Anahtarları Güvenilir mi?
Şifreleme Anahtarları
Nerede?
3rd Party Uygulamalarla
Çalışır mı?
Veri koruma stratejinizin ikinci
bileşeni Şifreleme
Anahtarlarının Depolanması:
Kullanım alanlarınızın ve ortamınızın gereksinimleri, anahtarların sorumluluklarını ve nihayetinde nasıl saklanıp korunacaklarını belirleyecektir.
Ne kadar çok şifreleme çözümü eklenirse, şifreleme anahtarlarının sayısı orantılı olarak artar. Sayı arttıkça sorunlar da artar.
Şifreleme Anahtarları Yazılımda Depolanabilir
Güvenlik Sınırlamaları ve Riskleri:
❑
Şifreleme Anahtarları ve Data Birlikte Depolanması
❑
İşletim Sistemi ve Uygulamaların Sahip Olduğu Güvenlik Açıkları
❑
Sanal ve Bulut Sistemlerde Klonlama Saldırıları
❑
Şifreleme Anahtarlarının Güvencesi Yoktur,
❑
Geçmiş ve Gelecekteki Data/İşlemler
ve
Şifreleme Anahtarları
Yazılımda Depolandığında Şifreleme Anahtarları Özel Donanımda Depolandığında
Kurumsal Sorumluluk
Şifreleme Anahtarlarını Güvenli Bir Şekilde Ayrı Olarak Saklayın, Kullanın
HSM ile Şifreleme Anahtarlarını Datadan Ayırın
HSM (Hardware Security Module)
HSM (Hardware Security Module)
❑ HSM, önemli veri nesnelerini (örn: şifreleme anahtarlarını) ayrı bir fiziksel cihazda depolayacağınız bir donanımdır.
❑ Kriptografik işlemleri (Şifreleme, Şifre Çözme, İmzalama, Zaman Damgası, Hashing) hızlandırır.
❑ Hassas şifreleme, güvenli bir şekilde şifre üretme (certified random number generator) ve koruma sağlar.
❑ Aynı anda birden çok uygulama sunucusu ile entegrasyon sağlar ve güvenilirdir.
(Sertifika PKI İmzalama Doğrulama)ve
IOT
İmzalamaKod
Zaman Damgası
SSL/TLS Blok Zincir
Bulut Teknolajileri Akıllı Kart
Yayınlama DataBase Şifreleme
Doküman İmzalama
Network HSM
HSM (Hardware Security Module)
❑ HSM, sunucu veya ağ üzerinden uygulamalar ile entegre çalışır,
❑ Uygulamalar genellikle, HSM ile bir istemci üzerinden iletişim kurar ancak şifreleme anahtarı HSM üzerindedir, asla dışarı çıkarılamaz.
❑ Yaygın HSM kullanım alanları yandaki şekildedir.
✓SSL Web ve Uygulama Sunucuları
Kök anahtar korunumu (Örn:
4096-bit RSA)
EFT İşlem Uygulama (EFT
Transaction Processing)
XML Web Servisleri (XML Web
Services)
PIN Yönetimi (PIN Management)
Online Bankacılık (e-Banking)
Kopyalama koruması (Anti –
Clonning)
Pasaport/Sürücü lisansı basımı
✓Sertifika geçerliliği (Certificate Validation)
Döküman hakları korunumu
E-pasaport, E-Oylama, E-Faturalama
Güvenli IP Telefon
Uygulamaları Bilgi ve sunuculara kimlik erişim onayı
Kağıt tabanlı bilgiden, elektronik
işlemlere geçiş
Yoğun kriptografik operasyonların
hızlandırılması
Anahtar yönetimi
çözümleri
DİĞER UYGULAMA ALANLARI
HSM (Hardware Security Module)
Ür ün T ek nik Öz ellik le r
Şifreleme, imzalama, imza doğrulama, özet alma gibi kriptografik işlemleri, bir ağ üzerinden yüksek performansla ve güvenli olarak gerçekleştirmek üzere geliştirilmiş bir cihazdır.
Cihaz ile istemci arasındaki haberleşme, karşılıklı doğrulama ile kurulan güvenli kanallar üzerinden yürütülmektedir.
İşlemlerde kullanılan anahtarların fiziksel saldırı korumalı kriptografik sınır içerisinde saklanması neticesinde, bu hassas varlıklar için yüksek güvenlik sağlanmaktadır.
İlklendirme, yedekleme, yazılım güncelleme, kullanıcı doğrulaması gibi kritik güvenlik işlemleri milli akıllı kart işletim sistemi AKİS tabanlı yetki ve kimlik doğrulamasından sonra gerçekleştirilmektedir.
Cihaz bünyesinde barındırdığı milli rastgele sayı üreteci ile de anahtar üretimine milli bir çözüm sunmaktadır.
Pnetworks HSM
(Hardware Security Module)
KRİPTOGRAFİK ÖZELLİKLER
RSA, ECDSA, DSA
AES, TripleDES, DES
SHA-1, SHA- 224, SHA-256, SHA-384, SHA-
512, RIPEMD160
SHA-1 HMAC, SHA-224 HMAC, SHA-
256 HMAC, SHA-384
HMAC, SHA-512
HMAC
RSA, ECDSA, DSA asimetirk anahtar
üretimi, AES, DES, TripleDES simetri k anahtar üretimi
Secp prime eğrileri ve özel
prime eğriler ile işlem yapabilme
Milli rastgele sayı üreteci
Pnetworks HSM
(Hardware Security Module)
Pnetworks HSM
(Hardware Security Module)
GÜVENLİK ÖZELLİKLERİ
▪ ISO 19790 Level-3 (FIPS 140-2 muadili)
▪ CC EAL4+ sertifikası
▪ Tamper korumalı sert metal kapak
▪ Isı ve gerilim değişimini gözlemleyen devre
•
Uzaktan cihaz yönetimi
•
Uzaktan yönetim için GUI ve komut satırı yönetim programı
•
Cihaz üzerinden yönetim için, 4.3 inch dokunmatik ekran
•
Kritik işlemlerde M-of-N yönetici doğrulaması
•
İşlem kayıtlarını tutma
•
256 adete kadar PKCS#11 slotu
•
32 adete kadar istemci bağlantısı
•
Yedek alma ve yedekten yükleme
Pnetworks HSM
(Hardware Security Module)
YÖNETİM
ÖZELLİKLERİ
Pnetworks HSM
(Hardware Security Module)
• RSA 2048-bit imzalama 520 op/saniye
• RSA 4096-bit imzalama 110 op/saniye
• ECDSA 256-bit prime imzalama 1600 op/saniye PERFORMANS
• PKCS#11 v2.20 UYGULAMA PROGRAMLAMA
ARAYÜZLERİ (APIS)
• Gigabit ethernet FİZİKSEL ARAYÜZ
• Linux
• Windows DESTEKLENEN İŞLETİM
SİSTEMLERİ