Gömülü Sistemleri Kalbinden Korumak: Fiziksel Güvenlik ve Şifreli BSP

Görünmez Cephe: Neden Fiziksel Güvenlik Siber Güvenlik Kadar Kritiktir?

Siber güvenliği sadece internetten gelen hacker saldırılarıyla sınırlı görmek, gömülü sistemler (embedded systems) için kritik bir vizyon eksikliğidir. Sahada terkedilmiş, ele geçirilmiş veya bakıma gitmiş bir askeri cihazın içindeki yazılımı kopyalamak, en az bir ağ sızması kadar stratejik bir tehdittir.

Tersine mühendislik (reverse engineering), sadece fikri mülkiyetinizi çalmakla kalmaz; sistemin zayıf noktalarını, iletişim protokollerini ve yapay zeka modellerinizi düşmanın eline verir. Bir drone'un navigasyon algoritması veya bir radar sisteminin sinyal işleme mantığı, düşman eline geçtiğinde karşı önlem geliştirmek için kullanılabilir.

Spikedge olarak biz güvenliği, cihazın enerjisinin ilk verildiği o milisaniyeden, yani Boot ROM katmanından itibaren bir zırh gibi kurguluyoruz. Bu yaklaşım, 'Security by Design' felsefesinin somut bir yansımasıdır. Güvenlik, tamamlanmış bir sisteme sonradan eklenen bir özellik değil; tasarımın en temel katmanına işlenmiş bir gereksinimdir.

Secure Boot: Mühürlenmiş Bir Güven Zinciri

Kullandığımız i.MX ve benzeri askeri sınıf işlemciler üzerinde, donanım seviyesinde mühürlenmiş (Fuses/OTP) dijital anahtarlar kullanıyoruz. Bu mimaride Secure Boot şöyle işler: İşlemci içindeki kristal titreşmeye başladığı anda, işlemcinin kendi içindeki donanımsal kod, bootloader'ın imzasını doğrular. Eğer yazılım bir bayt bile değiştirilmişse (tampering), işlemci boot etmeyi reddeder ve sistemi kilitler.

Bu dijital mühür zinciri; bootloader'dan kernel'a, kernel'dan ise uygulama katmanına kadar kesintisiz devam eder. Yani sisteme fiziken müdahale edip farklı bir kod yüklemek veya mevcut kodu manipüle etmek, işlemci seviyesinde engellenir. Bu, yazılımın donanıma 'sadakatini' garanti eden en güçlü bağdır.

Secure Boot'un uygulanması teknik açıdan karmaşık bir süreçtir. Öncelikle bir PKI (Public Key Infrastructure) altyapısı kurulur. Üretici tarafından oluşturulan özel anahtar (private key), son derece güvenli bir ortamda saklanır ve asla cihaza yüklenmez. Yalnızca bu anahtara karşılık gelen genel anahtar (public key), işlemcinin OTP (One-Time Programmable) bölgesine kalıcı olarak yazılır. Yazılım imzalama işlemi, güvenli bir üretim ortamında gerçekleştirilir ve imzalı yazılım cihaza yüklenir. Bu süreç, her cihaz için benzersiz bir güven kökü oluşturur.

Veriyi Görünmez Kılmak: ROOTFS Şifreleme ve Donanımsal Anahtar Yönetimi

Sistemin açılışını korumak yetmez; cihazın depolama birimindeki (eMMC/Flash) verilerin de fiziksel hırsızlığa karşı korunması gerekir. ROOTFS şifreleme uygulamalarımızda, sistemin çalıştığı tüm disk alanını 'on-the-fly' (gerçek zamanlı) olarak şifreliyoruz.

İşlemcinin içindeki CAAM (Cryptographic Accelerator and Assurance Module) gibi donanımsal hızlandırıcıları kullanarak, bu şifreleme/çözme işlemini CPU'ya neredeyse hiç yük bindirmeden gerçekleştiriyoruz. Diski söküp başka bir bilgisayara takan bir saldırgan, sadece anlamsız bir veri yığını görür. Şifre çözme anahtarları ise asla disk üzerinde tutulmaz; sadece Secure Boot tarafından doğrulanmış bir sistem açıldığında donanım tarafından üretilir.

Anahtar yönetimi bu sistemin en kritik bileşenidir. CAAM veya TrustZone gibi donanımsal güvenlik modülleri, şifreleme anahtarlarını işlemcinin güvenli bölgesinde saklar. Bu anahtarlara yalnızca güvenilir yazılım (Trusted Execution Environment - TEE) erişebilir. Normal işletim sistemi, hatta root kullanıcısı bile bu anahtarlara doğrudan erişemez. Bu mimari, en sofistike yazılım saldırılarına karşı bile anahtarların güvende kalmasını sağlar.

Güvenli Güncelleme: OTA ile Sahada Yazılım Yönetimi

Güvenli bir sistem inşa etmek yeterli değildir; bu sistemi güvenli bir şekilde güncelleyebilmek de kritik öneme sahiptir. Sahada yüzlerce veya binlerce cihazı fiziksel olarak güncellemek hem maliyetli hem de operasyonel açıdan imkansızdır.

Spikedge'in geliştirdiği OTA (Over-the-Air) güncelleme sistemi, yazılım güncellemelerini güvenli bir şekilde uzaktan dağıtır. Her güncelleme paketi, üretici tarafından imzalanır ve cihaz bu imzayı Secure Boot altyapısını kullanarak doğrular. İmzası geçersiz olan hiçbir güncelleme paketi cihaza yüklenmez.

Güncelleme süreci A/B partition stratejisiyle yönetilir. Cihazda iki ayrı sistem bölümü bulunur: aktif bölüm (A) ve yedek bölüm (B). Güncelleme, yedek bölüme yüklenir ve doğrulandıktan sonra aktif bölüm olarak işaretlenir. Eğer güncelleme başarısız olursa, sistem otomatik olarak önceki çalışan sürüme geri döner. Bu yaklaşım, güncelleme sürecinde sistemin hiçbir zaman 'brick' (kullanılamaz) hale gelmemesini garanti eder.

Sertifikasyon ve İleri Mühendislik: FIPS 140-2 ve Ötesi

Uyguladığımız bu katmanlar, sadece birer güvenlik önlemi değil; aynı zamanda FIPS 140-2 veya askeri sertifikasyon süreçlerinin de temelini oluşturur. FIPS 140-2, kriptografik modüllerin güvenliğini değerlendiren ABD federal standardıdır ve NATO ülkelerinin büyük çoğunluğu tarafından kabul görmektedir.

Spikedge mühendisliği, 'Security by Design' felsefesini sadece bir motto olarak değil, her bir imaj derlemesinde binlerce kontrolle (CVE scans, hardening scripts, penetration testing) hayata geçirmektedir. Her proje tesliminde müşteriye kapsamlı bir güvenlik raporu sunulur; bu rapor, uygulanan güvenlik önlemlerini, test sonuçlarını ve bilinen riskleri belgeler.

Bir cihazın gücü, içindeki bilgiyi ne kadar hızla paylaştığı kadar, bu bilgiyi ne kadar büyük bir sadakatle koruduğuna bağlıdır. Spikedge olarak biz, her iki boyutu da eşit önemde ele alıyor ve müşterilerimize hem hızlı hem de güvenli sistemler teslim ediyoruz.