Hassas kriptografik verinin yazılımsal bir altyapı üzerinde tutulması bir çok nedenden dolayı güvenli sayılmamaktadır.

Kriptografik veriler

• SSL özel anahtarı,
• IPSEC ve diğer tünel ayarları,
• Şifreleme anahtarları ve
• Doğrulama kodlarını sayabiliriz.

Yazılımsal şekilde anahtar saklamak güvenli değildir

Aşağıda örneklerini verdiğimiz nedenlerden dolayı, yazılım katmanında anahtar saklamak güvenli olarak kabul edilmemektedir.

• Assembly komutları üzerinde reverse engineering yaparak işlem döngüsü takip edilebilir,
• Bir sanallaştırma sistemi üzerinde işlemcinin tüm verilerine erişilebilir,
• Sistem üzerinde brute force atakları ile sınırsız sayıda deneme yapılabilir,

Donanımsal Güvenlik Modülleri

Donanımsal güvenlik modülleri ise USB veya network bağlantısı ile bağlanabilir. HSM yazılımın bulunduğu bilgisayardan fiziksel olarak ayrı bir donanım üzerinde çalışmalıdır. Böylelikle sadece HSM cihazının izin verdiği sınırlı bir protokol dizisi ile kriptografik iletişim sağlanmaktadır. Cihaz ayarları ise ön yüzündeki panel vasıtasıyla yapılmaktadır. Ayrıca HSMler dışarıdan gelebilecek açma ve kesme gibi fiziksel müdehalere karşı korumalı gelmektedir.

Örneğin FIPS-104-2 Level 3 bir HSM kasası açıldığında içerisindeki kriptografik anahtarları silecektir.

Ateşle Barut yanyana durmaz, SSL protokolü iki ayrı anahtar ile çalışmaktadır, birisi özel, diğeri de genel anahtardır. Özel anahtar sunucuda saklanırken, genel anahtar ise gelen iletişim taleplerine cevaben karşı tarafa sunulur.

Genel anahtarla şifrelenmiş tüm bilgi İnternet gibi açık ağ ortamlarında taşınabilir olması karşın sadece özel anahtar ile çözülebilir. Bu nedenle özel anahtarınıza sahip saldırgan ağ üzerinden akan verinizi çözebilir ya da sizin sunucnuz gibi davranap kullanıcı bilgilerine ulaşabilir. HSM kullanıldığında ise özel anahtar hiç bir zaman okunabilir olmayacaktır.

HSM Cihazının ağ bağlantısı sağlandıktan ve IP yapılandırma dosyası düzenlendikten sonra modifiye edilmiş OpenSSL kütüphanesinin HSM ile birlikte çalışan versiyonunu sistem kütüphanesine eklenmesi ile HSM kullanımı kolayca sağlanabilir. Bu şekilde örneğin apache’nin ssl private key dosyası yerine HSM kullanılmış olacaktır. Bu şekilde private hiç bir zaman okunamayacak ancak doğrulamalarda kullanılabilecekitir.

The post HSM Nedir? Neden Kullanılır? appeared first on VeriTeknik.

• PCI-DSS v3.2 ardından ek olarak PCI-DSS v3.2.1 duyuruldu. Bununla birlikte yeni gereklilikler gelmedi, ancak tarihlerde düzenlemeler gerçekleşti. PCI-DSS v3.2 31 Aralık 2018’e kadar geçerli olup 1 Ocak 2019 itibariyle terk edilecek.
• PCI-DSS v3.2.1 ile gelen güncellemeler PA-DSS’i etkilemeyecek. PA-DSS v3.2’de kalacaktır.
• PCI-HSM v1.x Nisan 2019 tarihinde sonlanacak. Bu sebeple Nisan 2018’den sonra PCI denetimine girenlerin PCI-HSM v2.x uyumlu cihaz kullanmaları doğru olacaktır. Bu açıdan, PCI-HSM v1.x ve v2.x arasındaki farkları (örn. Key uzunlukları, TR-31 kullanımı…) gözeterek algoritmanızı değerlendirmeniz faydalı olacaktır.
• PCI-HSM tarihlerini PTS Device Testing and Approval Program Guide’ın (https://www.pcisecuritystandards.org/documents/PTS_Program_Guide_v1-8.pdf) Appendix A.12’sinden inceleyebilirsiniz.
• PCI-DSS v3.1’de SSL/early TLS kullanan mekanizmaların 30 Haziran 2016’da sistemden çıkartılması gerektiği belirtildi. Buna karşılık sektörün buna hazır olmadığı bilgisinin paylaşılmasından sonra söz konusu tarih 30 Haziran 2016’dan 30 Haziran 2018 tarihine ertelendi. Kısacası 30 Haziran 2018 tarihinden itibaren kriptolama algoritmalarınızda SSL/early TLS kullanılmaması gerekiyor.
• SSL/early TLS’ten doğabilecek açıklar ve saldırılar (örn. POODLE, BEAST) çoğunlukla tarayıcı kullanımında tehlike oluşturduğundan, POS POI cihazları bu tip saldırılara karşı zaafiyet içermedikleri ispatlandıkları sürece SSL/early TLS kullanımına devam edebilirler. Ancak zayıf cipher kullanımı (örn. RC4, MD5) bu cihazlar için de söz konusu değil.
• SSL/early TLS ifadesinin bazı müşterilerimizde net olmadığını fark ettik. Güvenli sayılan TLS versiyonları TLS v1.1 ve üstü. Ancak tavsiye edilen TLS v1.2 ve üstü.
• Özellikle SSL/early TLS konusunda PCI SSC’nin ilgili makalesi okunabilir: https://www.pcisecuritystandards.org/documents/Migrating-from-SSL-Early-TLS-Info-Supp-v1_1.pdf

The post PCI-DSS ve PCI-HSM ile İlgili Hatırlatma appeared first on VeriTeknik.