NIST FIPS 140-3 standardı 2026 itibarıyla FIPS 140-2 validation’larını tamamen değiştirdi ve CMVP (Cryptographic Module Validation Program) sertifikalı modül sayısı 2025 sonunda 920’ye ulaştı. Federal yüklenici olmak isteyen kurumlar için artık zorunlu olan FIPS 140-3 validation lab queue süresi ortalama 14-22 ay.
FIPS 140-3 Pazarı ve 2026 Bağlamı
FIPS 140-3 ISO/IEC 19790:2012 standardı temel alan ABD federal kriptografik modül validation programı. NIST 2019’da FIPS 140-3’ü yayınladı ve 2021 Eylül itibarıyla yeni FIPS 140-2 başvurusu kabul edilmedi. 2026 Eylül itibarıyla aktif FIPS 140-2 sertifikaları sunset oldu; tüm federal kullanım için FIPS 140-3 zorunlu hale geldi. CMVP 2025 sonunda 920 aktif sertifikalı modül listelerken bu sayı 2026 sonunda 1400’ü geçmesi bekleniyor.
FedRAMP, FISMA, DoD ve diğer ABD federal alıcılar için FIPS 140-3 zorunlu. Türk ve Avrupa kurumlarında doğrudan zorunlu olmasa da ENISA Common Criteria EAL5+ ve ETSI EN 303 645 referansları FIPS 140-3 ile çakışıyor. Türkiye’de TÜBİTAK BİLGEM Ortak Kriterler Sertifikasyonu eşdeğer bir yerel framework; bankacılık sektöründe BDDK Bilgi Sistemleri Yönetmeliği FIPS 140-3 sertifikalı HSM kullanımını dolaylı olarak teşvik ediyor.
Validation Seviyeleri ve Teknik Boyut
FIPS 140-3 dört security level tanımlıyor: Level 1 (basic security requirements), Level 2 (tamper-evident coatings), Level 3 (tamper-resistant + role-based authentication), Level 4 (envelope of protection + environmental failure detection). Level 1 software-only modules için yeterli; HSM ve smart card için Level 3 minimum standart. Level 4 sadece askeri ve high-security uygulamalar için; toplam sertifikalı modül sayısı 18’i geçmiyor.
| Security Level | Tipik Modül | Validation Süre | Maliyet (USD) | Aktif Sertifika 2025 |
|---|---|---|---|---|
| Level 1 | Software cryptolib (OpenSSL FIPS) | 6-12 ay | 80.000-180.000 | 542 |
| Level 2 | USB token, smart card | 10-18 ay | 180.000-380.000 | 248 |
| Level 3 | HSM, secure enclave | 14-22 ay | 380.000-720.000 | 112 |
| Level 4 | Tactical HSM, defense module | 22-36 ay | 720.000-1.500.000 | 18 |
| Toplam (2025) | – | – | – | 920 |
Validation Süreci ve Karşılaştırma
FIPS 140-3 validation süreci 11 functional area’da değerlendiriliyor: cryptographic module specification, ports & interfaces, roles & services, software/firmware security, OS security, physical security, non-invasive security, sensitive security parameter management, self-tests, life-cycle assurance, mitigation of other attacks. Her area için lab vendor test yapıyor ve NIST CMVP final review yapıyor. Aktif lab listesi 21 akrede edilmiş lab; en yaygın atSec, Acumen, Lightship, Leidos.
- Pre-validation: Internal gap analysis, design review (4-8 hafta).
- Lab Testing: Module specification, source code review, algorithm test (8-16 hafta).
- Documentation: Security policy, FSM diagram, finite state model (4-6 hafta).
- NIST Review: Queue + review (8-14 ay; en uzun aşama).
- Certificate Issuance: CMVP listing’e ekleme (2-4 hafta).
- Re-validation: 5 yıllık geçerlilik, sürüm değişikliğinde re-cert.
İlgili konu: HSM ve kriptografi production rehberi FIPS 140-3 entegrasyonunu detaylandırıyor.
Implementation Pattern ve Production Best Practices
Kurumsal FIPS 140-3 implementation iki aşamalı: validated module seçimi ve doğru kullanım (FIPS mode). OpenSSL 3.0+ FIPS provider Level 1 sertifikalı; CentOS, RHEL, Ubuntu Pro FIPS validated kernel module sağlıyor. HSM tarafında Thales Luna 7, Entrust nShield 5, Utimaco SecurityServer Se en yaygın Level 3 sertifikalı seçenekler. AWS CloudHSM ve Azure Dedicated HSM yönetilen FIPS 140-3 Level 3 HSM hizmeti veriyor; saatlik 1,45 USD ve 2,80 USD.
FIPS mode kullanımı için aplikasyon kodunda dikkat noktaları var. Disallowed algorithms (MD5, SHA-1 signing, RC4, DES, 3DES) FIPS mode’da hata atar; legacy compatibility için ayrıca handler yazılmalı. Python cryptography library 41.0+, Go crypto package 1.21+, Java JCE provider 17+ FIPS 140-3 modunda çalışıyor. Container image’lar Red Hat UBI FIPS, Chainguard FIPS variants ile gelişir; Docker Hub’da FIPS validated image sayısı 2025’te yüzde 142 büyüdü.
Operasyon, İzleme ve Maliyet Modellemesi
FIPS 140-3 toplam sahip olma maliyeti üç katmanlı: validation cost (one-time), HSM/module cost (CAPEX), ve operational cost (maintenance, re-validation). Kendi modülünüzü validate ettirmek ortalama 380K USD ve 18 ay; vendor module satın almak çok daha pratik. Thales Luna 7 HSM yıllık lisans 24K USD/cihaz, AWS CloudHSM saatlik 1,45 USD = aylık 1058 USD. 5 yıllık projeksiyonda 4 HSM’li enterprise setup 580K USD.
| Senaryo | HSM Sayısı | 5 Yıl CAPEX | 5 Yıl OPEX | 5 Yıl Toplam |
|---|---|---|---|---|
| Küçük (on-prem Thales) | 2 | 180.000 USD | 120.000 USD | 300.000 USD |
| Orta (on-prem Thales) | 4 | 360.000 USD | 220.000 USD | 580.000 USD |
| Büyük (on-prem Entrust) | 8 | 720.000 USD | 440.000 USD | 1.160.000 USD |
| AWS CloudHSM | 4 | 0 USD | 254.000 USD | 254.000 USD |
| Azure Dedicated HSM | 4 | 0 USD | 490.000 USD | 490.000 USD |
İlgili konu: Bankacılık compliance ve kriptografi KKB ve TCMB pratiklerini ele alıyor.
Sektörel Use Case ve Türkiye Pratikleri
Türkiye’de KKB ve TCMB data merkezlerinde Thales Luna 7 ve Entrust nShield HSM’leri 2024-2025 döneminde FIPS 140-3 sertifikalı sürümlere upgrade edildi. Bankacılık sektöründe Garanti BBVA, Yapı Kredi, Akbank ve İş Bankası KMS/HSM altyapılarını FIPS 140-3 Level 3 modüllerle modernize etti. Türk Telekom 5G core network’te FIPS 140-3 Level 2 modülleri 2025’te devreye aldı. ASELSAN savunma sanayi için Level 4 sertifikalı modül geliştirme aşamasında.
Avrupa’da ENISA 2025 raporu Avrupa bankalarının yüzde 64’ünün FIPS 140-3 sertifikalı HSM kullandığını belgeliyor. DORA Article 9 ICT risk management requirements kriptografik modül sertifikasyonu konusunda FIPS 140-3 veya Common Criteria EAL4+ talep ediyor. ABD federal kuruluşlarda FedRAMP Moderate ve High için FIPS 140-3 zorunlu; FedRAMP listing’de 2025 sonunda 380+ FIPS 140-3 validated module bulunuyor.
Kurumsal FIPS 140-3 Dönüşümünde Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- Lab queue süresi 8-14 ay; validation planlaması ürün roadmap’i ile koordineli yapılmazsa launch gecikir.
- FIPS mode aktivasyonu legacy uygulamaları kırıyor; MD5, SHA-1 signing kullanan endpointleri önce refactor şart.
- Vendor lock-in HSM ekosisteminde ciddi; Thales, Entrust, Utimaco API’leri uyumsuz, migration pahalı (180K+ USD).
- Disaster recovery için cross-site HSM cluster minimum 2-4 cihaz; CAPEX şişiyor.
- Performance overhead FIPS mode’da yüzde 12-25 arası; özellikle bulk encryption workload’larda gözle görülür.
- Re-validation 5 yılda bir tekrarlanıyor; sürüm değişikliğinde delta validation maliyeti 80-180K USD.
Sonuç
2026 yılında FIPS 140-3 ABD federal pazara erişim için zorunlu, Avrupa ve Türk kurumsal alıcılar için de güçlü bir kalite işareti haline geldi. Validation süreci uzun (14-22 ay Level 3) ve pahalı (380K+ USD) olmasına rağmen sertifikalı modül kullanımı validation maliyetini düşürürken compliance hedeflerine ulaşmayı sağlıyor. NIST CMVP resmi sayfası ve FIPS 140-3 standart dokümanı implementation rehberlerini detaylandırıyor. Kurumsal projeler için validated vendor module (Thales, Entrust, Utimaco) satın almak veya AWS CloudHSM / Azure Dedicated HSM managed service kullanmak self-validation’a göre yüzde 80+ zaman tasarrufu sağlıyor. 5 yıllık TCO planlaması ve re-validation maliyeti baştan modellenmeli; FIPS mode aktivasyonu legacy uygulamaları kıracağı için 12-18 ay önceden refactoring başlatılmalı.
Sıkça Sorulan Sorular
FIPS 140-2 hâlâ geçerli mi?
Hayır, 2026 Eylül itibarıyla aktif FIPS 140-2 sertifikaları sunset oldu ve federal kullanım için FIPS 140-3 zorunlu; yeni başvuru 2021 Eylül’den beri kabul edilmiyor.
Türkiye’de FIPS 140-3 zorunlu mu?
Doğrudan zorunlu değil ama BDDK Bilgi Sistemleri Yönetmeliği ve TÜBİTAK BİLGEM Ortak Kriterler dolaylı olarak teşvik ediyor; bankacılık sektöründe yüzde 78 kullanım oranı.
Self-validation mı vendor module mu seçmeliyim?
Kendi kriptografik modülü olmayan kurumlar için validated vendor module (Thales, Entrust) satın almak veya AWS CloudHSM kullanmak yüzde 80+ zaman ve maliyet tasarrufu sağlıyor.
FIPS mode performans etkisi nedir?
OpenSSL FIPS mode bulk encryption workload’da yüzde 12-25 overhead getiriyor; AES-NI hardware acceleration ile bu etki yüzde 5’in altına iniyor.
Cloud HSM mi on-prem HSM mi tercih edilmeli?
5 yıllık TCO’da AWS CloudHSM 254K USD ile on-prem Thales 580K USD’den ucuz; ancak data sovereignty ve düşük latency gereksinimleri için on-prem hâlâ tercih sebebi.
Ömer Önal
Mayıs 23, 2026FIPS 140-3 federal pazara erişim için zorunlu, Türk bankacılık için güçlü kalite işareti. Validation lab queue’su 14-22 ay; vendor module satın almak kendi modülünüzü validate ettirmekten yüzde 80 daha hızlı ve ucuz. AWS CloudHSM managed yaklaşım 5 yıllık TCO’da on-prem Thales’ten 326K USD ucuz; ancak data sovereignty kritikse on-prem hâlâ tercih.