Defining a sample template for governmental procurements of cryptographic products

Abstract

Türkiye'de kriptografik-tabanlı güvenlik sistemleri ve/veya kriptografikmodülleri tanımlayan bir kanun, yönetmelik, emir veya kamu kullanımına açık birteknik şartnamenin kolaylıkla temin edilemeyeceği iyi bilinen bir gerçektir. Bununyanında, uluslarası açıdan bakıldığında, hükümet seviyesinde bu konudayayımlanmış tek standart, A.B.D. NIST (National Institute of Standarts andTechnology) tarafından 25 Mayıs 2001 tarihinde yayımlanan (09 Mart 2006tarihinden itibaren ISO/IEC 19790 olarak uluslararası nitelik kazanan) ve birkriptografik modül tarafından karşılanması gereken güvenlik ihtiyaçlarınıtanımlayan ?Federal Information Standarts Publication (FIPS) 140-2? standardıdır.Devlete ait kritik kriptografik sistemlerle aktarılan kritik ve değerli verininkorunması çok öneme haiz olduğundan, bahse konu kriptografik sistemleritanımlayan örnek bir şablon şartnamenin tanımlanması da o denli önemlidir.Bu çalışma kapsamında oluşturulan örnek şablon şartname, resmikurum/kuruluşlar tarafından gerçekleştirilecek kriptografik sistem tedarikleri içinbir başlangıç noktası ve insiyatif olmayı hedeflemektedir.

It is a well-known truth that nobody can easily find a law, act, directive, codeor a publicly available technical specification which describe crytopgraphic-basedsecurity systems and/or cryptographic modules in Turkey. Besides that, from theinternational aspect, the only government released standarts take place in the?Federal Information Standarts Publication (FIPS) 140-2?, published by UnitedStates ?National Institute of Standarts and Technology (NIST)? on May 25th, 2001(which became the international standart after Final Commitee Document acceptedas ?ISO/IEC 19790:2006? on March 9th, 2006) which specifies the securityrequirements that should be satisfied by a cryptographic module.Since the protection of sensitive and valuable (sometimes life-critical) datatransfered via critical governmental cryptographic systems is very important andrequires high confidentiality, the need for defining a sample template technicalspecification of those cryptographic systems is that much high.The sample template specification which is made up in this study aims to be astarting point or initiative for preparing a cryptographic module specification ingovernmental procurements.