Günümüzde internet kullanıcılarının bilgi güvenliği konusuna verdiği önem giderek artarken, bu alanda kullanılan teknolojiler de gelişmeye devam ediyor. Bu amaçla kullanılan en popüler teknolojilerden biri de SSL sertifikalarıdır.
Güvenlik sağlayıcılar ile kötü niyetli kişilerin rekabeti, insanlık tarihinden bu yana devam ediyor, bildiğiniz gibi. Dijital dünyada bu rekabet hızlandı. Uçtan uca iletişimde veri güvenliğinin en yaygın koruyucusu SSL sertifikalarının gelişigüzel oluşturulması ve kurulması artık yetersiz gelmeye başlıyor. Bir SSL sertifikasının daha güçlü ve karmaşık bir şekilde şifrelenmesi için bazı standartlar bulunur. Bu standartların sunduğu algoritmalar ve gereksinimler ile SSL sertifikasının çözümlenmesi zorlaşır. Bu yazımızda veri güvenliği için standartlar belirleyen FIPS’i ve FIPS uyumlu SSL sertifikası konusunda sizleri bilgilendireceğiz.
FIPS Nedir?
FIPS, Federal Information Processing Standards’in kısaltmasıdır ve ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından geliştirilmiş olan bir dizi standarttır. Bu standartlar, federal hükümet kurumları ve müteahhitleri tarafından kullanılan bilgi işlem sistemleri için birçok gerekliliği tanımlar ve amacı, ABD federal hükümeti içindeki bilgisayar sistemleri ve ağların güvenliğini ve etkileşimini sağlamak olarak belirlenmiştir. Şifreleme algoritmaları, veri güvenliği, kimlik doğrulama mekanizmaları, kriptografik modüller ve daha pek çok alanda gerekliliklerin kapsandığı FIPS’in genel amacı , ABD federal hükümetinin bilgisayar sistemleri ve ağlarının güvenliğini sağlama hedefine yardımcı olmaktır. Fakat bir çok kurum ve kuruluş FIPS standartlarını izleyerek güvenliğini artırmaktadır.
FIPS Uyumlu SSL Sertifikası Nedir?
FIPS uyumlu SSL sertifikaları, Federal Information Processing Standards (FIPS) tarafından tanımlanan güvenlik gereksinimlerini karşılayabilen ve federal hükümet tarafından kullanılan bilgisayar sistemlerinde kullanılabilen SSL sertifikalarıdır. Bu sertifikalar, federal hükümet kurumları tarafından kullanılan hassas verilerin güvenliğini sağlamak ve bilgi işlem altyapısının doğruluğunu ve bütünlüğünü korumak için gereklidir.
FIPS uyumlu SSL sertifikaları, standart SSL sertifikalarından daha fazla güvenlik özelliği sunar. Örneğin, FIPS 140-2 standardına uygun şekilde şifreleme algoritmaları kullanırlar ve kriptografik modüller, kimlik doğrulama mekanizmaları ve veri bütünlüğü için diğer özellikleri barındırırlar. Bu sertifikalar, federal hükümet kurumları tarafından kullanılan web sitelerinde, e-posta sunucularında ve diğer dijital ortamlarda güvenliği artırmaya yardımcı olur.
FIPS 140-2 Standardı Nedir?
Federal Information Processing Standards (FIPS) 140-2, ABD ve Kanada tarafından tanımlanan bir kriptografi standardıdır. Bu standardın amacı, federal hükümetin ve diğer kurumların kullanımı için hash fonksiyonları, şifreleme algoritmaları ve diğer kriptografi modülleri için minimum güvenlik gereksinimlerini belirlemektir. Bilgisayar sistemlerinde kullanılan bu kriptografi modüllerinin doğruluğunu ve bütünlüğünü sağlamak amacıyla kullanılan sertifikasyon programını da tanımlar.
FIPS 140-2 Standardının Seviyeleri
FIPS 140-2 standardı, dört seviyede sınıflandırılan güvenlik gereksinimleri belirler. Aşağıda FIPS 140-2 standardı seviyeleri aşağıdaki gibidir:
Level 1: En düşük düzey şartları içerir ve temel test ve garanti gereksinimlerini belirler. Bu seviyede, kriptografik modüllerde açıklanmayan hataların varlığını dışlamak için test işlemleri gerçekleştirilir. Seviye 1 sertifikası, bir kriptografik modüle özel işletmelerin müşterilerine verilir. Level 1 seviye çalışmalarına örnek olarak, SSL sertifikalarını, veri şifreleme, şifre çözme işlemi gerçekleştirmek için kullanılan CryptoAPI gibi yazılım kütüphanelerini örnek verebiliriz.
Level 2: Fiziksel güvenlik testleri, doğrulama testleri ve şifreleme algoritmalarında minimum gereksinimleri içerir. Bu seviyede, kriptografik modülün gözetim ve erişimi kontrol edilir.
Level 2 seviye çalışmalarına örnek olarak, bu seviye çalışmalara, GSM SIM kartları, yetkili personelin modüle erişmek için benzersiz kimlik doğrulama gerektiren bir donanım güvenlik modülü (HSM), VPN istemcilerini verebiliriz.
Level 3: Daha yüksek güvenlik gereksinimleri ve seviye 2’deki testlere ek olarak daha sıkı doğrulama ve şifreleme gereksinimleri içerir. Bu düzeyde, modülün fiziksel güvenliği daha da arttırılmıştır.
Level 3 seviye çalışmalara örnek olarak, kriptolu sabit diskler, Biyometrik veya çok faktörlü kimlik doğrulama da dahil olmak üzere daha güçlü kimlik doğrulama mekanizmalarına sahip giriş sistemlerini verebiliriz.
Level 4: En yüksek güvenlik düzeyidir ve seviye 3’teki tüm gereksinimlere ek olarak, cihazın fiziksel veya elektronik saldırılara karşı dayanıklılığını test eder. Bu düzeyde, kriptografik modülün fiziksel etkenlerden korunması en üst seviyededir ve saldırganların dış müdahalesine karşı yüksek bir direnci garanti eder. Bu seviyedeki kriptografik modüller genellikle dikkat çeken devlet, finans sektörü veya silahlı kuvvetler tarafından kullanılır.
Level 4 seviye çalışmalarına örnek olarak yetkisiz bir erişim tespit edilmesi durumunda verileri tamamen silmeyi yada erişimini engellemeyi amaçlayan Tripwire ve Break-Wire veri silme sistemleri, Sıcaklığa duyarlı sistemler, Kimyasal saldırılara dayanacak veya bunlara yanıt verecek sistemler verilebilir.
FIPS 140-3 Standardı Nedir?
FIPS 140-2’ye kıyasla FIPS 140-3, sadece ABD ve Kanada’ya özel değil uluslararası standartlar oluşturmayı amaçlar.
FIPS 140-2 ve FIPS 140-3 arasındaki farkların en dikkat çekenleriyse;
- Seviye 2 modüllerinin, HMAC (Karma Tabanlı Mesaj Kimlik Doğrulama Kodu) veya dijital kimlik kullanarak yazılım/firmware bütünlük testi sağlama ihtiyacı, Seviye 3 ve Seviye 4 modülleriyse yalnızca dijital imzaları kullanarak bütünlük sağlama ihtiyacıdır. Bu sayede daha sıkı bir şekilde veri bütünlüğünü doğrulamak amaçlanmaktadır.
- Doğrulama için kullanılan örneğin IBM Security Access Manager, OpenSSL gibi modüllerle oluşturulan kayıtları/sertifikalarına eşleşecek modül adını/tanımlayıcısı ve bu modülün bir sistem veya bileşenin, doğrulama kayıtları veya sertifikalarıyla ilişkilendirilebilecek benzersiz bir tanımlayıcıya ve sürüme sahip olduğu bilgilerini sağlamayı amaçlamaktadır. Bu sayede, sistem veya bileşenin hangi sürümünün doğrulandığı veya belgelendiği izlenebilir ve doğrulama sürecinde kullanılan kayıtlarla eşleştirilebilir.
- Kriptolanmış sistemlerde kullanılan SSP’ler (Duyarlı Güvenlik Parametreleri) dahil olmak üzere tüm anahtarların sıfırlanması gereklidir. Bu sayede anahtarlar yanlış ellere geçtiğinde veya yetkisiz erişimle karşılaştığında şifreleme algoritması çözülerek oluşabilecek ciddi bir güvenlik riskinin engellenmesi amaçlanmaktadır.
- Roller, hizmetler ve kimlik doğrulama – şifre boyutu kısıtlamaları gibi – şifreleme modülünün uygulaması tarafından karşılanmalıdır (politika, kurallar vb. yoluyla değil). Bu gereklilik, kimlik doğrulama, yetkilendirme ve hizmetlerin güvenliğini sağlamayı amaçlar. Şifreleme modülünün uygulaması tarafından rollerin, hizmetlerin ve kimlik doğrulama süreçlerinin doğru bir şekilde yönetilmesi ve uygulanması gerektiği belirtilmektedir. Şifre boyutu kısıtlamaları gibi gereksinimler, güçlü parola politikalarının uygulanmasını ve kullanıcıların güvenli kimlik doğrulama yöntemlerini kullanmalarını sağlayarak güvenlik seviyesini artırmayı hedefler.
- Değiştirilebilir bir işletim ortamında çalışan yazılım modülleri için ise isteğe bağlıdır ve modül, bir dizi hedef sistemlere fiziksel müdahale gerektirmeden gerçekleştirilen Non-invasive saldırına karşı koruma sağlamalıdır. Bu saldırılara örnek olarak Brute Force ve Packet Sniffing ataklarını örnek verebiliriz.
Bu gereklilik, bir modülün donanım ve yazılım bileşenlerinin güvenliğini sağlamayı amaçlar. Non-invasive güvenlik, bir modülün fiziksel veya yazılım tabanlı saldırılara karşı dayanıklılığını artırır. Donanım ve firmware bileşenleri, modülün içinde bulunduğu fiziksel ortamda güvenliği sağlamak için non-invasive saldırılara karşı korunmalıdır. Yazılım modülleri ise değiştirilebilir bir işletim ortamında çalıştıkları için non-invasive saldırılara karşı koruma sağlamak opsiyonel olabilir. Bu gereklilikler, modülün güvenlik seviyesini artırmak ve güvenli çalışmasını sağlamak için önemlidir. - Hizmet sunan satıcıların doğrulama laboratuvarları (Common Criteria Doğrulama Laboratuvarı, FIPS (Federal Information Processing Standards) Doğrulama Laboratuvarı vb.) testlerine ek olarak, bir modül üzerinde kendi testlerini yapmalıdır. Bu, satıcının modülün performansını değerlendirmesine ve olası hataları veya güvenlik açıklarını tespit etmesine olanak tanır. Böylece, modülün güvenli ve doğru bir şekilde çalışması ve beklenen standartları karşılaması sağlanır.
- Yazılım modülleri, Seviye 2 gereksinimlerini karşılamak için artık bir Common Criteria (CC) değerlendirilmiş işletim sistemi veya “güvenilir işletim sistemi” içinde çalışmak zorunda değildir. Bununla birlikte, bu Seviye 2 değiştirilebilir işletim ortamları, bir denetim mekanizması gerektirir. Bu sayede Common Criteria (CC) değerlendirilmiş bir işletim sistemi kullanmadan dilediği ortamda çalışabilmesine izin verilir.
Bu farklar sayesinde FIPS 140-3, FIPS 140-2’ye kıyasla daha güncel, daha kapsamlı ve daha spesifik bir standarttır. FIPS 140-3, daha ileri güvenlik gereksinimlerini ve sertifikasyon süreçlerini içerir ve kriptografik modüllerin güvenilirliğini ve güvenliğini artırmayı hedeflemektedir.
FIPS Uyumlu SSL Sertifikası İçin Gerekli Olan Şartlar Nelerdir?
FIPS tarafından SSL sertifikaları için belirlenmiş olan minimum gereksinimleri aşağıda paylaşıyoruz;
FIPS 140-2 İçin SSL Sertifikası Gereksinimleri
- Sertifika FIPS 140-2 onaylı bir sertifika yetkilisi (CA) tarafından verilmiş olmalı.
- Sertifika, FIPS 140-2 onaylı RSA, DSA, AES, SHA-1, EES gibi bir şifreleme algoritması kullanılarak oluşturulmalı.
- Sertifika oluşturulurken kullanılan ve SSL sertifikasını korumak için kullanılan anahtar boyutu minimum 1024 bit olmalı.
- Sertifika imzası için kullanılan hash algoritması minimum SHA-1 olmalı.
FIPS 140-3 İçin SSL Sertifikası Gereksinimleri
- Sertifika, FIPS 140-3 onaylı bir sertifika yetkilisi (CA) tarafından verilmiş olmalı.
- Sertifika, FIPS 140-2 onaylı RSA, ECDSA, AES, SHA-2 gibi bir şifreleme algoritması kullanılarak oluşturulmalı.
- Sertifika oluşturulurken kullanılan ve SSL sertifikasını korumak için kullanılan anahtar boyutu minimum 2048 bit olmalı.
- Sertifikayı imzası için kullanılan hash algoritması SHA-256 veya üstü olmalıdır.
FIPS Uyumlu SSL Sertifikası Neden İhtiyaç Duyulur?
- Hassas Verilerin Korunması: FIPS uyumlu SSL sertifikası, sınıflandırılmış veya hassas bilgilerin işlendiği veya iletilmesi gereken ortamlarda kullanılır. Bu tür veriler, finansal bilgiler, sağlık kayıtları, kişisel kimlik bilgileri gibi özel ve hassas olabilecek bilgileri içerir. FIPS uyumlu SSL sertifikası, bu tür verilerin güvenli bir şekilde şifrelenerek korunmasını sağlar.
- Hükümet ve Savunma Sektörü Gereklilikleri: FIPS standartları, özellikle hükümet ve savunma sektörlerinde önemlidir. Bu sektörlerdeki kurumlar, hassas bilgilere sahip olduğu için FIPS uyumlu sertifikalara ihtiyaç duyarlar. Bu sertifikalar, federal hükümetin bilgi güvenliği standartlarına uygunluk sağlamada kritik bir rol oynar.
- Regülasyon ve Uyumluluk Gereklilikleri: Birçok sektörde, yasal düzenlemeler veya uyumluluk gereklilikleri, hassas verilerin korunmasını ve güvenli bir şekilde iletilmesini zorunlu kılar. Örneğin, sağlık sektöründe HIPAA (Sağlık Sigortası Taşınabilirlik ve Hesap Verilirliği Yasası) gereklilikleri veya finans sektöründe PCI DSS (Kredi Kartı Endüstrisi Veri Güvenliği Standardı) gereklilikleri gibi regülasyonlar, FIPS uyumlu SSL sertifikalarını talep edebilir.
- Güvenilirlik ve Güven İmajı: FIPS uyumlu SSL sertifikası, kurumların güvenilirliklerini ve güven imajlarını artırır. Müşteriler, bir web sitesi veya uygulama üzerinden ilettikleri hassas bilgilerin güvenli bir şekilde korunduğunu bilmek isterler. FIPS uyumlu SSL sertifikası, güvenli veri şifrelemesi ve doğrulama mekanizmaları sağlayarak müşterilere bu güveni sağlar.
- İş Ortakları veya Müşteri İstekleri: Bazı durumlarda, iş ortakları veya müşteriler FIPS uyumlu SSL sertifikasına sahip olmanızı talep edebilir. Özellikle hükümet veya savunma sektörüyle çalışıyorsanız, bu tür talepler daha yaygın
FIPS Uyumlu SSL Sertifikası Nasıl Temin Edilir?
SSL sayfamız üzerinden DigiCert RapidSSL siparişinizi tamamladıktan sonra Destek Merkezimiz üzerinden Teknik ekibimize bir talep oluşturmanız yeterlidir. En hızlı şekilde FIPS uyumlu SSL sertifikanız oluşturulup dosyalarınız tarafınıza iletilecektir.