Kriptografik Modüllerin Sertifikasyonu (FIPS 140-2): Dijital Güvenliğin Altın Standardı

kullanici1

Mart 5, 2026

Siber Güvenlik

"Güveniyorum" Demek Yetmez, Kanıtlamak Gerekir

Bir güvenlik duvarı (Firewall) üreticisi size “Cihazımız askeri düzeyde şifreleme kullanıyor” dediğinde buna inanır mısınız? Veya bir veritabanı yazılımı “AES-256 ile verilerinizi koruyoruz” dediğinde, o algoritmayı gerçekten doğru uyguladıklarından nasıl emin olabilirsiniz? Kriptografi dünyasında “Niyet” ile “Uygulama” arasında uçurumlar vardır. Dünyanın en güçlü algoritmasını (AES) alıp, yazılımda hatalı bir döngü içinde uygularsanız, o şifreleme kırılabilir hale gelir. İşte bu belirsizliği ortadan kaldıran, dünyanın en prestijli ve en zorlu güvenlik standardı FIPS 140-2 (Federal Information Processing Standard Publication 140-2)‘dir. 

ABD ve Kanada hükümetlerinin ortaklaşa yürüttüğü bu program, bir donanımın veya yazılımın içindeki “Kripto Motoru”nun gerçekten iddia ettiği güvenliği sağlayıp sağlamadığını test eder. Sektördeki en büyük yanılgı, FIPS 140-2’nin sadece Amerikan devletine iş yapanlar için gerekli olduğudur. Oysa bugün finans (PCI-DSS), sağlık (HIPAA) ve kritik altyapı sektörlerinde FIPS onayı, ürünün kalitesini belirleyen küresel bir “Güven Mührü”dür. Bu kapsamlı rehberde; FIPS 140-2’nin dört güvenlik seviyesini (Level 1-4), bir cihazın fiziksel olarak delindiğinde kendini nasıl imha etmesi gerektiğini (Zeroization), “Kendi Kendini Test Etme” (Self-Tests) zorunluluğunu ve artık yürürlüğe giren FIPS 140-3 standardının getirdiği yenilikleri en ince teknik detayına kadar inceleyeceğiz. 

FIPS 140-2 Nedir? CMVP ve Kripto Modülü

FIPS 140-2, kriptografik modüllerin uyması gereken güvenlik gereksinimlerini belirleyen bir standarttır. Bu standart, NIST (ABD) ve CSE (Kanada) tarafından yönetilen CMVP (Cryptographic Module Validation Program) çatısı altında yürütülür. 

Kriptografik Modül Nedir? 

Standarda göre korunan varlık “Modül”dür. Bu şunlar olabilir: 

  • Donanım Modülü: Bir HSM (Hardware Security Module), bir akıllı kart veya şifreli bir USB bellek. 
  • Yazılım Modülü: OpenSSL kütüphanesi veya Windows’un şifreleme servisi (BitLocker). 
  • Firmware Modülü: Bir router’ın içindeki gömülü yazılım.
  • Hibrit Modül: Donanım ve yazılımın birleşimi. 

Neden Önemlidir? 

ABD ve Kanada federal kurumları, “Hassas ama Sınıflandırılmamış” (SBU) verileri korumak için satın alacakları her üründe FIPS 140-2 Onayı (Validated) şartı ararlar. Eğer ürününüzün bu sertifikası yoksa, bu pazara giremezsiniz. Özel sektörde ise bu sertifika, “Ürünümde arka kapı yok ve kriptografim matematiksel olarak doğru çalışıyor” demenin kanıtıdır. 

Güvenlik Seviyeleri: 1'den 4'e Tırmanış

FIPS 140-2, “Ya hep ya hiç” sistemi değildir. Ürünün kullanım amacına göre 4 farklı güvenlik seviyesi tanımlar.

Seviye 1 (Level 1): Temel Kriptografi 

En düşük seviyedir. Genellikle sadece yazılım modülleri için kullanılır. 

  • Gereksinim: Onaylı algoritmaların (AES, RSA, SHA) doğru çalışması gerekir. 
  • Fiziksel Güvenlik: Gerekmez. Standart bir PC üzerinde çalışabilir.
  • Örnek: PC’nizdeki şifreleme yazılımı veya bir web tarayıcısının SSL kütüphanesi. 

Seviye 2 (Level 2): Müdahale Kanıtı (Tamper-Evidence) 

Donanım güvenliğinin başladığı yerdir.

  • Gereksinim: Cihazın açılıp açılmadığı anlaşılmalıdır. 
  • Mekanizma: Özel hologramlı etiketler (Tamper-evident seals) veya kırılmadan açılmayan kaplamalar kullanılır. Eğer biri cihazı açmaya çalışırsa, etiket bozulur veya kasa çatlar. 
  • Rol Tabanlı Kimlik Doğrulama: Kullanıcıların bir role (User, Crypto Officer) sahip olması gerekir. 
  • Örnek: Kurumsal Router’lar, güvenli USB bellekler. 

Seviye 3 (Level 3): Müdahale Direnci (Tamper-Resistance) 

Yüksek güvenlik seviyesidir. Cihaz saldırıyı sadece göstermez, saldırıya direnir.

  • Gereksinim: Cihaz fiziksel olarak zorlandığında (delme, kapak açma), içindeki hassas verileri (anahtarları) silmelidir (Zeroization). 
  • Mekanizma: Güçlendirilmiş çelik kasalar, kapak açıldığında devreyi kesen sensörler. 
  • Kimlik Tabanlı Doğrulama: Sadece rol yetmez, “Kim” olduğu da (Username/Password veya Sertifika) doğrulanmalıdır. 
  • Örnek: HSM cihazları (Banka ödeme sistemleri). 

Seviye 4 (Level 4): Çevresel Koruma (Environmental Failure Protection) 

En üst düzey, askeri güvenliktir. 

  • Gereksinim: Cihaz laboratuvar ortamında voltaj, sıcaklık veya radyasyon değişimleriyle (Side-Channel Attacks) saldırıya uğrasa bile anahtarları korumalıdır. 
  • Mekanizma: Cihazın etrafında, ısıyı ve voltajı sürekli izleyen ve anormallik durumunda cihazı imha eden (self-destruct) koruma zarfları (Epoxy potting) bulunur. 
  • Örnek: Uydular, askeri füzelerin şifreleme modülleri.
kripto
kripto

Kriptografik Sınır (Cryptographic Boundary)

FIPS sertifikasyonunun en önemli kavramlarından biri Sınırdır. 

  • Tanım: Nerenin “Güvenli Bölge” olduğunun çizilmesidir. 
  • Örnek: Bir PC’nin tamamını sertifikalandırmak zordur. Ancak PC’nin anakartına takılı bir şifreleme çipini (TPM) sertifikalandırabilirsiniz. Burada “Sınır”, o çipin fiziksel kenarlarıdır.
  • Kural: Sınırın dışından içeriye giren her veri (Input) ve dışarı çıkan her veri (Output) sıkı kurallara tabidir. Sınırın içindeki tüm işlemler (Kritik Güvenlik Parametreleri – CSP) izole olmalıdır. 

Olmazsa Olmaz Gereksinimler

Bir modülün sertifika alabilmesi için şu testleri geçmesi gerekir: 

1. Bilinen Cevap Testleri (KAT – Known Answer Tests) 

Cihaz her açıldığında (Power-Up), kendi kripto motorunu test etmek zorundadır.

  • İşleyiş: Cihaz, hafızasındaki sabit bir veriyi şifreler. Sonuç, hafızasında kayıtlı olan “doğru cevap” ile eşleşiyor mu? 
  • Hata: Eğer eşleşmezse (yani şifreleme motoru bozulmuşsa), cihaz “Hata Durumu”na (Error State) geçer ve tüm veri çıkışını (Data Output) kapatır. Bozuk bir cihaz şifreleme yapamaz. 

2. Koşullu Testler (Conditional Tests) 

Cihaz çalışırken de testler devam eder.

  • Sürekli RNG Testi: Rastgele Sayı Üreteci (RNG), sürekli aynı sayıyı üretiyor mu? Eğer üst üste aynı sayıyı üretirse, sistem kilitlenir (Çünkü bu rastgelelik değildir). 

3. Anahtar Yönetimi 

Anahtarlar nasıl üretiliyor, nasıl saklanıyor ve nasıl siliniyor? 

  • Zeroization: Bir saldırı durumunda veya cihaz emekliye ayrıldığında, içindeki tüm özel anahtarların geri getirilemeyecek şekilde silinmesi gerekir. 

Sertifikasyon Süreci: Zorlu Yolculuk

Bir üreticinin FIPS sertifikası alması 6 ay ile 2 yıl arasında sürer ve on binlerce dolara mal olur. 

  • Hazırlık: Üretici, modülünü FIPS kurallarına göre tasarlar ve dokümante eder (Security Policy).
  • Laboratuvar Testi: Ürün, NIST tarafından akredite edilmiş bağımsız bir laboratuvara (NVLAP Lab) gönderilir. Laboratuvar, kaynak kodları inceler, fiziksel saldırı testleri yapar. 
  • Raporlama: Laboratuvar sonuçları NIST/CSE’ye gönderir.
  • Onay: NIST uzmanları raporu inceler. Her şey uygunsa sertifika yayınlanır ve CMVP listesine eklenir. 

Dikkat: “FIPS Compliant” (Uyumlu) demek, “FIPS Validated” (Onaylı) demek değildir. “Uyumlu”, üreticinin “Ben kurallara uydum” iddiasıdır. “Onaylı” ise devletin “Test ettim, onayladım” belgesidir. Yasal geçerliliği olan sadece ikincisidir.

FIPS 140-3: Yeni Nesil Standart

FIPS 140-2, 2001 yılından beri kullanılıyordu. Eylül 2019’da FIPS 140- 3 yayınlandı ve geçiş süreci başladı. Artık yeni başvurular sadece 140-3 üzerinden kabul ediliyor. 

Neler Değişti? 

  • ISO Uyumu: FIPS 140-3, uluslararası ISO/IEC 19790 standardını temel alır. Bu, sertifikanın küresel geçerliliğini artırır.
  • Yan Kanal Saldırıları (Side-Channel Mitigation): 140-2’de opsiyonel olan, güç tüketimi veya elektromanyetik sızıntı analizlerine (DPA/SPA) karşı koruma, 140-3’te zorunlu test parametresi haline geldi (Seviye 3 ve üstü için). 
  • Yaşam Döngüsü: Modülün kullanım ömrü sonundaki güvenli imhası daha detaylı tanımlandı.

Endüstriyel Kullanım Alanları

Hangi ürünlerde FIPS logosunu aramalısınız? 

  • HSM (Hardware Security Modules): Bankaların kök anahtarlarını sakladığı cihazlar kesinlikle FIPS 140-2 Level 3 olmalıdır. 
  • SSL/VPN Cihazları: Şirket ağını koruyan cihazlar Level 2 sertifikasına sahip olmalıdır. 
  • Bulut Bilişim: AWS KMS (Key Management Service) veya Azure Key Vault, arka planda FIPS onaylı HSM’ler kullanır. “Verileriniz FIPS standartlarında korunuyor” dediklerinde kastettikleri budur.
  • Polis ve Askeri Telsizler: İletişim şifrelemesi Level 1 veya Level 2 modüllerle yapılır. 

Sıkça Sorulan Sorular (SSS)

  1. OpenSSL FIPSonaylımı? 

OpenSSL’in kendisi (tüm kütüphane) FIPS onaylı değildir. Ancak OpenSSL’in özel bir “FIPS Object Module” sürümü vardır. Eğer uygulamanızda bu özel modülü kullanırsanız ve “FIPS Mode”u aktif ederseniz, FIPS onaylı kriptografi kullanmış olursunuz. 

  1. Sertifikanınsüresi dolar mı? 

Evet. 5 yıl sonra sertifikalar “Historical” (Tarihi) listesine alınır. Üreticinin ürünü tekrar test ettirmesi gerekir. Ayrıca bir algoritma (örneğin SHA-1) güvensiz ilan edilirse, o algoritmayı kullanan tüm sertifikalar iptal edilebilir. 

  1. Yazılımgüncellemesi sertifikayı bozar mı? 

Evet. FIPS sertifikası, belirli bir donanım üzerindeki belirli bir yazılım sürümü (Örn: v1.2.3) için  verilir. Eğer v1.2.4 güncellemesi yaparsanız, teknik olarak sertifikasız bir ürün kullanmış olursunuz. Bu yüzden “Re-validation” (Yeniden doğrulama) süreçleri vardır. 

  1. Nedenher ürün FIPS almıyor? 

Çünkü süreç çok pahalı ve yavaştır. Ayrıca FIPS, kodda değişiklik yapmayı zorlaştırır (Her yamada tekrar test gerekir). Bu yüzden hızlı gelişen yazılımlar FIPS sürecinden kaçınır.

  1. FIPSmoduperformansı etkiler mi?

Genellikle evet. FIPS modu açıldığında, yazılım her başlangıçta kendi kendini test eder (Power-up tests) ve bazı hızlı ama onaysız algoritmaları devre dışı bırakır. Bu da başlangıç süresini ve işlem hızını etkileyebilir.

Mührün Gücü

FIPS 140-2 (ve şimdi 140-3), karmaşık bir bürokrasi gibi görünebilir. Ancak günün sonunda, elimizdeki şifreleme teknolojisinin gerçekten çalışıp çalışmadığını bilmemizin tek yolu budur. 

Bir güvenlik mimarı için FIPS sertifikası, karanlıkta yol gösteren bir deniz feneridir. Ürünün içindeki matematiğin, fiziksel korumanın ve anahtar yönetiminin, dünyanın en titiz laboratuvarları tarafından incelendiğini garanti eder. 

SiberTim olarak tavsiyemiz; kritik altyapılarınızda veya hassas veri (PII, Finans) barındıran sistemlerinizde, kullandığınız şifreleme modüllerinin CMVP Listesinde olup olmadığını mutlaka kontrol edin. Unutmayın, “Güvenli olduğunu söylüyorlar” ile “Güvenli olduğu kanıtlandı” arasındaki fark, bir veri sızıntısı anında her şey demektir. 

Tags :
FIPS 140-2,Kriptografik Modül,Siber Güvenlik Standartları
Share This :

Diğer Yazılar

Bize Soru Sorun

Soru ve görüşleriniz için bizimle iletişime geçebilirsiniz.

Instagram Youtube

Telif Hakkı © 2021 SiberTim Tüm Hakları Saklıdır.