HSM مقابل TPM: ما الفرق وأيهما تختار؟

المقدمة: وحدتان، فلسفتان مختلفتان للأمان

في مجال التشفير التطبيقي وحماية المفاتيح الرقمية، تعود تقنيتان باستمرار في نقاشات مديري المعلومات ومسؤولي الأمان: HSM (وحدة الأمان الصلب) و TPM (وحدة المنصة الموثوقة). يشترك هذان الجهازان الماديان في الهدف المشترك - حماية العمليات التشفيرية الحساسة - لكن بنيتهما وحالات استخدامهما ومستوى شهاداتهما تختلف بشكل جذري. قد يؤدي الخلط بين الاثنين إلى اختيارات بنية تحتية غير مناسبة، بل وثغرات في الامتثال التنظيمي. تقدم لك هذه المقالة المفاتيح لفهم الفرق بين HSM و TPM، وتحديد متى تستخدم أحدهما أو الآخر، واتخاذ أفضل قرار لمؤسستك في 2026.

---

ما هي وحدة الأمان الصلب (HSM)؟

وحدة الأمان الصلب هي جهاز مادي مخصص، مصمم خصيصاً لإنشاء وتخزين وإدارة المفاتيح التشفيرية في بيئة آمنة جسدياً وبرمجياً. إنه مكون مستقل - غالباً في شكل بطاقة PCIe أو جهاز شبكة أو خدمة سحابية (HSM كخدمة) - الوظيفة الرئيسية له هي تنفيذ العمليات التشفيرية بأداء عالي دون الكشف عن المفاتيح بصيغتها الواضحة خارج الوحدة.

الخصائص التقنية لـ HSM

يتم اعتماد HSM وفقاً لمعايير دولية صارمة، خاصة FIPS 140-2 / FIPS 140-3 (المستويات 2 و 3 و 4) من مجلس المعايير الوطني الأمريكي، و معايير Common Criteria EAL4+ وفقاً للمعيار ISO/IEC 15408. تتضمن هذه الشهادات آليات مقاومة التزييف الجسدي (tamper-resistance)، وكواشف الدخول غير المصرح، والتدمير التلقائي للمفاتيح في حالة محاولة اختراق.

يوفر HSM النموذجي:

• قدرة معالجة عالية: حتى عدة آلاف من عمليات RSA أو ECDSA في الثانية
• Multi-tenancy: إدارة مئات الأقسام التشفيرية المستقلة
• واجهات معيارية: PKCS#11 و Microsoft CNG و JCA/JCE و OpenSSL engine
• مسار تدقيق كامل: تسجيل لا يمكن تغييره لكل عملية

حالات الاستخدام النموذجية لـ HSM

HSM هو أساس التوقيع الإلكتروني المؤهل بموجب نظام eIDAS، حيث يجب إنشاء المفتاح الخاص للموقِّع وتخزينه في جهاز إنشاء توقيع مؤهل (QSCD). كما يجهز هيئات إصدار الشهادات (CA/PKI) والأنظمة المدفوعة (HSM بروتوكول PCI-DSS) وبنى التحتية لتشفير قواعد البيانات وبيئات التوقيع على الأكواد.

يعتمد التوقيع الإلكتروني المؤهل في المؤسسة بشكل منتظم على HSM معتمد كـ QSCD لضمان أقصى قيمة قانونية للتوقيعات.

---

ما هي وحدة المنصة الموثوقة (TPM)؟

وحدة المنصة الموثوقة هي رقاقة أمان متكاملة مباشرة على اللوحة الأم لجهاز كمبيوتر أو خادم أو جهاز متصل. تم توحيدها من قبل مجموعة الحوسبة الموثوقة (TCG)، وتقنياتها TPM 2.0 معترف بها أيضاً كمعيار ISO/IEC 11889:2015، وتم تصميم TPM لتأمين المنصة نفسها بدلاً من خدمة التشفير المركزية المشتركة.

البنية الأساسية وعمل TPM

على عكس HSM، فإن TPM هو مكون لاستخدام واحد، مرتبط بمعدات مادية محددة. لا يمكن نقله أو مشاركته بين عدة آلات. تتضمن وظائفه الرئيسية:

• قياس سلامة البدء (Secure Boot و Measured Boot) عبر Platform Configuration Registers (PCR)
• تخزين مفاتيح مرتبط بالمنصة: المفاتيح المُنشأة بواسطة TPM يمكن استخدامها فقط على الآلة التي أنشأتها
• توليد أرقام عشوائية تشفيرية (RNG)
• الشهادة عن بعد: إثبات لخادم بعيد أن المنصة في حالة ثقة معروفة
• تشفير الحجم: يعتمد BitLocker على Windows و dm-crypt مع TPM على Linux بشكل مباشر على TPM

قيود TPM للاستخدامات المؤسسية المتقدمة

تم اعتماد TPM 2.0 بـ FIPS 140-2 مستوى 1 على أفضل تقدير، وهو أقل بكثير من اعتمادات FIPS 140-3 مستوى 3 من وحدات HSM المحترفة. قدرتها على معالجة التشفير محدودة (بضع عشرات من العمليات في الثانية)، ولا تدعم واجهات PKCS#11 أو CNG بشكل أصلي مثل HSM مخصص. بالنسبة لـ التوقيع الإلكتروني المتقدم أو المؤهل، فإن TPM وحده عموماً غير كافٍ بموجب متطلبات eIDAS الملحق الثاني على QSCD.

---

الفروقات الأساسية HSM مقابل TPM: جدول مقارن

فهم الفرق بين HSM و TPM يمر عبر مقارنة منظمة للمعايير الحاسمة للمؤسسة.

مستوى الشهادة والتأكيد الأمني

| المعيار | HSM | TPM | |---|---|---| | شهادة FIPS | 140-3 مستوى 2 إلى 4 | 140-2 مستوى 1 | | معايير Common Criteria | EAL4+ إلى EAL7 | EAL4 | | تأهيل eIDAS QSCD | نعم (مثل Thales Luna و Utimaco) | لا | | مقاومة التزييف الجسدي | متقدمة (التدمير الذاتي) | أساسية |

السعة والقابلية للتوسع والتكامل

HSM هي أجهزة متعددة المستخدمين ومتعددة التطبيقات: يمكن لجهاز واحد من الشبكة أن يخدم في نفس الوقت مئات العملاء والتطبيقات والخدمات عبر PKCS#11 أو REST API. تتكامل في بنى توفر عالية التوافر (clusters نشط-نشط) وتدعم معدلات تشفيرية صناعية.

TPM، من ناحية أخرى، هو مخصص للآلة الواحدة وعميل واحد بالتصميم. يتفوق في تأمين محطة العمل وحماية بيانات اعتماد وصول Windows Hello for Business وسلامة البرنامج الثابت. بالنسبة لعمليات التوقيع الإلكتروني في سير العمل الموثق، لا يمكن لـ TPM أن يلعب دور خدمة التشفير المشتركة.

التكلفة والنشر

يمثل HSM للشبكة على مستوى المؤسسة (Thales Luna Network HSM و Utimaco SecurityServer و AWS CloudHSM) استثماراً من 15000 إلى 80000 يورو للمعدات المحلية، أو بين 1.50 و 3.00 يورو في الساعة في الوضع السحابي المُدار وفقاً للموفرين. TPM، من ناحية أخرى، متكامل بدون تكلفة إضافية في جميع أجهزة الكمبيوتر المكتبية الاحترافية والخوادم والأنظمة المدمجة منذ 2014 (إلزامي لـ Windows 11 منذ 2021).

---

متى تستخدم HSM ومتى تستخدم TPM في المؤسسة؟

الإجابة على هذا السؤال تعتمد على سياقك التشغيلي والتزاماتك التنظيمية وبنية نظام المعلومات لديك.

اختر HSM من أجل:

• نشر PKI داخلي: يجب أن تكون المفاتيح الجذرية لسلطة الشهادات الخاصة بك بالضرورة موجودة في HSM معتمد للحصول على ثقة المتصفحات (CA/Browser Forum Baseline Requirements)
• إصدار توقيعات إلكترونية مؤهلة: وفقاً للملحق الثاني من لائحة eIDAS رقم 910/2014، يجب أن تكون QSCD معتمدة وفقاً لمعايير مكافئة لـ EAL4+ على الأقل؛ المقارنة بين حلول التوقيع الإلكتروني توضح هذه المتطلبات
• تأمين المعاملات المالية بحجم كبير: تفرض معايير PCI-DSS v4.0 (القسم 3.6) حماية مفاتيح التشفير لبيانات الكارت في HSM
• تشفير قواعس البيانات أو السحابة: تسمح AWS CloudHSM و Azure Dedicated HSM و Google Cloud HSM بالاحتفاظ بسيطرة المفاتيح (BYOK / HYOK)
• التوقيع على الكود وسلامة بناء CI/CD: يتطلب التوقيع على المنتجات البرمجية لسلسلة التوريد الآمنة HSM لمنع سرقة المفاتيح

اختر TPM من أجل:

• تأمين بدء تشغيل محطات العمل والخوادم: Secure Boot + Measured Boot + شهادة بعيدة عبر TPM 2.0 تشكل أساس Zero Trust على endpoint
• تشفير الأقراص كامل القرص: BitLocker مع TPM يحمي البيانات في الراحة دون اعتمادية على خدمة خارجية
• المصادقة المادية لمحطات العمل: Windows Hello for Business يستخدم TPM لتخزين مفاتيح المصادقة الخاصة دون إمكانية الاستخراج
• امتثال NIS2 على أمان endpoints: توجيه NIS2 (الاتحاد الأوروبي 2022/2555)، المنقول في القانون الفرنسي بموجب القانون المؤرخ 13 يونيو 2024، يفرض تدابير تقنية متناسبة لأمان أنظمة المعلومات؛ TPM يساهم مباشرة في تأمين الأصول المادية
• مشاريع IoT الصناعية: تسمح TPM المدمجة في الأتمتة والأنظمة SCADA بالشهادة البعيدة دون بنية HSM مخصصة

البنى الهجينة HSM + TPM

في المؤسسات الكبيرة، HSM و TPM لا يتعارضان: يكملان بعضهما. يمكن لخادم مجهز بـ TPM 2.0 أن يشهد على سلامته أمام خدمة إدارة مركزية، بينما يتم تفويض العمليات التشفيرية للعمل (التوقيع وتشفير البيانات التطبيقية) إلى مجموعة HSM الشبكية. تم التوصية بهذه البنية من قبل ANSSI في دليلها حول إدارة المخاطر المتعلقة بمزودي خدمات الثقة (PSCE). يمكن أن يساعد استشارة مسرد التوقيع الإلكتروني الفريق التقني على توحيد المصطلحات عند تحديد هذه البنية.

الإطار القانوني والتنظيمي المنطبق على HSM و TPM

يرتبط الاختيار بين HSM و TPM مباشرة بامتثال مؤسستك للعديد من الإطارات التنظيمية الأوروبية والدولية.

لائحة eIDAS رقم 910/2014 و eIDAS 2.0 (لائحة الاتحاد الأوروبي 2024/1183)

تفرض المادة 29 من لائحة eIDAS أن تُنشأ التوقيعات الإلكترونية المؤهلة بوسيلة جهاز إنشاء توقيع مؤهل (QSCD)، المعرّف في الملحق الثاني. يجب أن تضمن هذه الأجهزة سرية المفتاح الخاص وتفرده وعدم قابليته للانتهاك. تُنشر قائمة QSCD المعترف بها من قبل الهيئات الوطنية للاعتماد (في فرنسا: ANSSI). تظهر HSM المعتمدة FIPS 140-3 مستوى 3 أو Common Criteria EAL4+ على هذه القوائم؛ لا تظهر TPM. يعتمد مزود توقيع مثل Certyneo على HSM معتمد لضمان أقصى قيمة إثباتية للتوقيعات المُصدرة.

القانون المدني الفرنسي، المواد 1366 و 1367

تعترف المادة 1366 بالقيمة القانونية للكتابة الإلكترونية "بشرط أن يكون من الممكن تحديد الشخص الذي تصدر عنه على النحو الواجب وأن يتم إنشاؤها والاحتفاظ بها بطريقة تضمن سلامتها". توضح المادة 1367 شروط التوقيع الإلكتروني الموثوق به، وتحيل ضمناً إلى متطلبات eIDAS للتوقيعات المؤهلة.

GDPR رقم 2016/679، المواد 25 و 32

يفرض مبدأ الخصوصية بالتصميم (المادة 25) والالتزام بالتدابير التقنية المناسبة (المادة 32) حماية المفاتيح التشفيرية المستخدمة لتشفير البيانات الشخصية. يشكل اللجوء إلى HSM معتمد تدبيراً متقدماً (حالة الفن بمعنى الاعتبار 83 من GDPR) لإثبات الامتثال أثناء فحص CNIL.

توجيه NIS2 (الاتحاد الأوروبي 2022/2555)، المنقول في فرنسا

يفرض توجيه NIS2، الساري على الكيانات الأساسية والمهمة منذ أكتوبر 2024، في المادة 21 تدابير لإدارة المخاطر تشمل أمان سلسلة التوريد البرمجية والتشفير. HSM يستجيب مباشرة لهذه المتطلبات للعمليات الحرجة، بينما تساهم TPM في تأمين endpoints.

معايير ETSI

توفر معيار ETSI EN 319 401 (المتطلبات العامة لمزودي خدمات الثقة) و ETSI EN 319 411-1/2 (المتطلبات لـ CA الذي يصدر شهادات مؤهلة) تخزين مفاتيح CA في HSM معتمد. معيار ETSI EN 319 132 (XAdES) و ETSI EN 319 122 (CAdES) يحدد تنسيقات التوقيع التي تفترض استخدام وحدات آمنة معتمدة.

توصيات ANSSI

تنشر ANSSI المعيار RGS (المعيار العام للأمان) وأدلتها على HSM، وتوصي باستخدام وحدات معتمدة لأي بنية PKI حساسة في المنظمات العامة و OIV/OSE. قد يشكل عدم الامتثال لهذه التوصيات إخلالاً بالالتزامات NIS2 للكيانات المعنية.

سيناريوهات الاستخدام: HSM أو TPM حسب السياق

السيناريو 1: شركة إدارة الأصول المالية مع PKI داخلي

تحتاج شركة إدارة تدير عدة مليارات يورو من الأصول المُدارة إلى التوقيع إلكترونياً على التقارير التنظيمية (AIFMD و MiFID II) والعقود الاستثمارية بقيمة قانونية مؤهلة. تنشر PKI داخلي تُحمى مفاتيحه الجذرية (Root CA) والوسيطة (Issuing CA) في مجموعتي HSM شبكة بتوفر عالي، معتمدة FIPS 140-3 مستوى 3. تُصدر الشهادات المؤهلة على HSM شركاء متوافقة مع eIDAS QSCD. النتيجة: 100٪ من التوقيعات لها قيمة مؤهلة، تؤكد التدقيقات التنظيمية AMF الامتثال، وينخفض وقت التوقيع على مستندات الاستثمار من 4 أيام إلى أقل من ساعتين. يتم استرجاع تكلفة بنية HSM في أقل من 18 شهراً مقابل تكاليف عدم الامتثال المحتملة.

السيناريو 2: شركة صناعية صغيرة بـ 150 موظفاً تأمن حديقتها من أجهزة سطح المكتب

شركة صناعية صغيرة في قطاع الطيران، مزود من الرتبة الثانية يخضع لمتطلبات CMMC (نموذج نضج الأمان السيبراني) والتوصيات NIS2، يجب أن تأمن 150 جهاز Windows ضد سرقة البيانات التقنية الحساسة. ينشر مسؤول الأمان BitLocker مع TPM 2.0 على جميع حديقة الأجهزة، مقترنة بـ Windows Hello for Business للمصادقة دون كلمة مرور. يتم دمج الشهادة البعيدة عبر TPM في حل MDM (Microsoft Intune). لا حاجة إلى أي HSM في هذا السياق: تكفي TPM المدمجة في أجهزة Dell و HP. النتيجة: ينخفض خطر تسريب البيانات الناتج عن سرقة جسدية للكمبيوتر المحمول إلى ما يقرب من الصفر، ويرتفع درجة نضج الأمان السيبراني للشركة الصغيرة بمقدار 40٪ وفقاً للتقييم الذاتي CMMC. التكلفة الإضافية: 0 يورو (TPM مدمج بالفعل في الآلات).

السيناريو 3: مشغل منصة SaaS للتوقيع الإلكتروني متعدد العملاء

يجب على مشغل SaaS يقدم خدمات التوقيع الإلكتروني لعدة مئات من شركات العملاء أن يضمن العزلة التشفيرية بين العملاء وتأهيل eIDAS لخدمته. ينشر بنية بناءً على HSM في وضع سحابة مخصص (AWS CloudHSM أو Thales DPoD)، مع قسم HSM لكل عميل كبير ومجموعة مشتركة لعملاء المعايير. يستفيد كل عميل من مفاتيح معزولة في قسمه، قابلة للتدقيق بشكل مستقل. تجهز TPM خوادم التطبيق للشهادة على سلامة المنصة أثناء تدقيقات شهادة eIDAS (QTSP). النتيجة: يحصل المشغل على تأهيل QTSP من قبل ANSSI، مما يسمح بإصدار توقيعات مؤهلة. يقلل نموذج HSM كخدمة النفقات الرأسمالية للبنية التحتية بنسبة 60٪ مقابل الحل على الموقع، وفقاً للمعايير القطاعية القابلة للمقارنة.

الخاتمة

الفرق بين HSM و TPM أساسي: HSM هو خدمة تشفيرية مشتركة وعالية الأداء ومتعددة التطبيقات، لا غنى عنها لـ PKI والتوقيعات المؤهلة eIDAS والامتثال PCI-DSS أو NIS2 على نطاق واسع. TPM هو مكون ثقة مرتبط بمنصة مادية محددة، مثالي لتأمين endpoints والبدء الآمن والمصادقة المحلية. في معظم البنى التحتية enterprise الناضجة في 2026، يتعايش الاثنان بأدوار مكملة وغير قابلة للاستبدال.

إذا كانت مؤسستك تسعى إلى نشر حل توقيع إلكتروني مؤهل يعتمد على بنية HSM معتمدة، دون إدارة التعقيد التقني داخلياً، فإن Certyneo توفر منصة SaaS جاهزة الاستخدام، متوافقة مع eIDAS و RGPD. اكتشف أسعار Certyneo أو تواصل مع خبرائنا لتدقيق احتياجاتك التشفيرية.