الانتقال إلى المحتوى الرئيسي
Certyneo
التشفير المادى · FIPS 140-3 · CC EAL4+

HSM (Hardware Security Module): ليه ومتى تستخدمها

HSM (Hardware Security Module) هو جهاز إلكتروني غير قابل للتخريب بيعمل على توليد وتخزين واستخدام مفاتيح التشفير دون تعريضها واضحة خارج الصندوق. هو المكون المادى الذى ممكن التوقيع الإلكتروني المؤهل (QES) بمعنى اللائحة eIDAS، التشفير بالفاتورة العامة (PKI) ، جذور الثقة لهيئة اعتماد (CA) ، وبشكل أوسع أي عملية تشفير بتتطلب ضمانة عدم التخريب المادية والمنطقية. هذا الدليل الملموس يشرح بشكل ملموس ما هو HSM، لما هو، وكيف يتم شهادته (FIPS 140-2, FIPS 140-3, Common Criteria EAL4), ويفارق من TMS أو KPM بمعنى عمل برنامج خالص.

ايه هو HSM، بالتحديد؟

HSM هو عبارة عن علبة أجهزة (ركن 1U، بطاقة PCIe، USB أو جهاز شبكة) بتعمل عمليات تشفير (توليد المفاتيح، التوقيع، التشفير، فك الشفرة، التجزئة) داخل محيط مُغلق. المفاتيح الخاصة مش بتخرج أبدًا من HSM: أي محاولة لاستخراج مادي تسبب الإستجابة الفورية (tamper response). تم تصميم العلبة لتمكن من مقاومة الهجمات بالقناة المساعدة (تحليل الاستهلاك الكهربائي، الإشعاعات الكهرومغناطيسية، اضطرابات التوتر) ، هجمات العكس البيت (التدخيل الخاطئ) والرصد بالمجهر الإلكتروني.

بتعني، تطبيق عايز يوقع مستند يرسل المكثف (شاش SHA-256) من الوثيقة إلى HSM عبر واجهة برمجيات برمجيات قياسية (PKCS#11, KMIP, CNG, JCE). ويعبر HSM عن الشاش بمفتاح خاص يقع حصراً في محيطه، ثم يرجع التوقيع. الوثيقة الموقعة فيها التوقيع والشهادة العامة المقابلة لكن المفتاح الخاص بيبقى محمي بشكل لا يطاق. ده اللي يميز بين توقيع مؤهل eIDAS (QES، مدعوم من HSM جانب مقدم) من توقيع مؤهل بسيط (SES، بدون إرادة مادية) أو متقدم (AES، المفتاح المتحكم به من قبل الموقع).

خمس استخدامات حيث الـ HSM ضروري

الـ HSM مش ملاءمة للعامة: لازم كلما طلبت قوانين أو معايير أو عقود ضمان مادي لحفظ المفاتيح.

توقيع مؤهل eIDAS (QES)

اللائحة الأوروبية eIDAS (EU 910/2014) بتطلب أن يتم إنشاء توقيع مؤهل عن طريق جهاز إنشاء توقيع مؤهل (QSCD) معتمد في الممارسة العملية، HSM معتمد على EN 419 221-5 أو Common Criteria EAL4+. هو HSM مقدم الخدمة الموثوق بها المؤهل (QTSP) اللي بيحمل المفتاح الخاص للموقع ويعمل التوقيع.

تشفير البيانات الحساسة

بتدير HSM المفاتيح الرئيسية للتشفير (KEK) اللي بتشفير مفاتيح تشفير قواعد البيانات والأقراص (BitLocker، LUKS) أو الحماية. حالة نموذجية: امتثال PCI-DSS لمعالجات الدفع، HIPAA / HDS للبيانات الصحية، سر الدفاع للدول.

سلطة التصديق (PKI)

كل سلطة شهادة (CA) جذر أو وسيطة أو مصدرة بتستخدم HSM لتوليد واستخدام المفتاح اللي بيقوم بالتوقيع على الشهادات X.509. المفتاح الجذر لسيطة شهادة عامة (Let's Encrypt، DigiCert، Sectigo) أو خاصة للشركة (Active Directory CS، ADFS) لازم يبقى في HSM مصدق.

إدارة المفاتيح التشفيرية (KMS)

منصات السحابة (AWS CloudHSM، Azure Dedicated HSM، Google Cloud HSM) بتعرض HSMs مشتركة أو مخصصة لإدارة دورة حياة المفاتيح الكاملة: التوليد، التناوب، الاستبدال، الأرشيف، التدمير. الميزة مقارنة مع KMS البرمجيات الخالصة: دليل على عدم التعدي ضد المنظمين والمراجعين.

TLS Root و الشهادات الخادمة الحرجة

الشهادات TLS من البنية التحتية الحرجة (بوابات مصرفية، توقيع كود برنامج، جذر CA من مصنعي إنترنت الأشياء) محمية بواسطة HSM. HSM بتوقع الشهادات الخارجة من غير أن تعرض المفتاح الجذر حتى في حالة تعرض الخادم المضيف بالكامل.

الشهادات HSM: اللي لازم تعرفه

مش كل الشهادات بتتساوي القيمة. مستوى الشهادة بيحدد اللوائح اللي تستحق استخدام HSM (eIDAS QSCD، PCI-DSS HSM، عقود دفاعية سرية).

فيبس 140-2 و فيبس 140-3 (نيست، الولايات المتحدة)

فيبس 140-2 (منشور في عام 2001، تم إزالته من الكتالوج النشط في عام 2026) وخليفته فيبس 140-3 (في المفعول من عام 2019، واجب على المنتجات الجديدة من عام 2024) بتحدد 4 مستويات أمان. المستوى 3 (مفاتيح محذوفة إذا تم فتح المحيط) هو الحد الأدنى لـ PKI المصرفية والعامة ؛ المستوى 4 (مقاومة الهجمات القناة المساعدة والتغيرات البيئية) مطلوب لبعض الاستخدامات الدفاعية السرية.

Common Criteria EAL4+ (ISO/IEC 15408 ، دولي)

المقاييس المشتركة هي المعيار الدولي لتقييم أمن منتجات تكنولوجيا المعلومات. لـ HSM، مستوى المقاييس المشتركة EAL4+ مع بروفيل الحماية EN 419 221-5 مطلوب من اللائحة eIDAS للوجهات الناشئة للتوقيع المؤهل (QSCD). ده اللي بيستخدموه من مقدمي الثقة المؤهلين الأوروبيين (QTSP).

ETSI EN 319 411 و 319 412 (أوروبا)

المعايير ETSI بتحدد المتطلبات التقنية اللي لازم يتوافق معها مزود خدمة ثقة مؤهل (QTSP) في معنى eIDAS بما في ذلك استخدام HSMات معتمدة EN 419 221-5. تم تدقيق QTSP في القائمة الأوروبية الموثوق بها (eIDAS TL) على ضوء المعايير دي من قبل هيئة معتمدة (في فرنسا: LSTI، COFRAC).

ANSSI (فرنسا) و BSI (ألمانيا)

بيسل المانيه بيسل شهادات مساويه (CSPN, BSI-TR). ادارات عامة وطنية ممكن تطلب هذه الشهادات الوطنية على جانب الشهادات الاوروبية.

HSM vs TPM vs KMS البرمجيات ايه الحل اللي لازم اخده؟

الخيار الصحيح بيعتمد على قيمة المفاتيح اللي عايزة الحماية والقيود التنظيمية والميزانية. وهذه ستة أبعاد بتوجيه القرار.

مقاسHSMTPMKMS البرمجيات
الغرضحماية المفاتيح التشفيرية للشركة والبنية التحتية (QES، PKI، KMS).طمح التشغيل و حدد الجهاز (BitLocker، شهادة TPM 2.0) مفتاح واحد لكل جهاز.مركزية دورة حياة المفاتيح في الذاكرة/الديسك، بدون عزل مادي.
سرعة التشفيرعدة آلاف من توقيعات RSA-2048 في الثانية (نموذج عالية النوعية: 25000+ sig/s).بضعة توقيعات في الثانية متوجيهة للاستخدامات المحلية المحددة.محدود من قبل وحدة المعالجة المركزية المضيفة (غالبا < 1000 سيج/ثنائية لـ RSA-2048).
الشهادات التنظيميةفيبس 140-2/3, Common Criteria EAL4+, EN 419 221-5 (QSCD eIDAS).Common Criteria EAL4+ لـ TPM 2.0 (مايكروسوفت بلوتون، جوجل تيتان). مش كاف لـ QES eIDAS.مش هناك شهادة مادي. إيزو 27001 من المورد على الأغلب.
شكل ماديصندوقاً رف 1U-2U، بطاقة PCIe، محمول USB متصلب، أو جهاز شبكة مخصص. من 8،000 يورو.شريحة مصفحة على اللوحة الأم (TPM 2.0) أو مجازية (vTPM). بضعة يورو لكل جهاز.مجاني (HashiCorp Vault، OpenStack Barbican) أو SaaS (AWS KMS بدون CloudHSM).
حالة استخدام نموذجيةتوقيع مؤهل eIDAS، PKI root، امتثال PCI-DSS، سر الدفاع.بدء آمن، تشفير القرص المحلي، شهادة ويندوز هيلو.التطبيقات المشفرة، أسرار ديف او بي، الشهادات الداخلية غير الحرجة.
التكلفة الكلية للملكية8،000 يورو لـ 80،000 يورو لكل جهاز + صيانة + مراجعة. قابل للتوزيع عبر السحابة (€/ساعة).تكلفة هامشية (حتى دلوقتي موجودة على 99٪ من أجهزة الكمبيوتر المهنية بعد عام 2016).مجاني في المصدر المفتوح ؛ 0.03 دولار/مفتاح/شهر في SaaS المدار (AWS KMS، Azure Key Vault).

أسئلة متكررة HSM

ايه الفرق بين HSM و TPM؟
TPM (Trusted Platform Module) هي شريحة مصفحة على بطاقة الأم لجميع أجهزة الكمبيوتر المهنية الحديثة تقريباً وهي تستخدم لإغلاق التشغيل وتشفير القرص (BitLocker) وتحديد جهاز بطريقة فريدة. HSM (Hardware Security Module) هي علبة مستقلة مخصصة لإدارة المفاتيح التشفيرية للشركة هي تستخدم للتوقيع على الوثائق على مستوى مؤهل eIDAS، أو استضافة جذر سلطة التصديق، أو حماية مفاتيح التشفير. TPM بتكلف بضعة يورو لكل جهاز ؛ HSM بتكلف عدة آلاف إلى عشرات الآلاف من اليورو، ولا معنى لها إلا على مستوى المنظمة.
هو التشفير HSM فعلاً محصن؟
أي حماية مش كاملة، لكن تشفير HSM هو أعلى مستوى من الحماية المادية المتوفرة اليوم. HSMs المؤهلين لـ FIPS 140-3 المستوى 3 أو Common Criteria EAL4+ مقاومين للهجمات عبر القناة المساعدة (تحليل الاستهلاك، الإشعاعات الكهرومغناطيسية) ، للهجمات عن طريق الحقن الخاطئ (اضطرابات في التوتر أو درجة الحرارة) ، وبتسبب مسح مفاتيح تلقائي في حالة فتح الصندوق جسديًا (التلاعب بالرد). لم يتم توثيق أي تعرض علني لـ HSMs يعمل بشكل صحيح في منتصف الإنتاج خلال العشر سنوات الماضية.
لازم اشتري HSM عشان استخدم التوقيع الالكتروني المهرة؟
لا، إلا إذا كنت أنت نفسك مزود خدمة ثقة. علشان توقع في QES، مفاتيحك الخاصة بتتخزن في HSM من QTSP مؤهل (Universign، Certinomis، LuxTrust، وشركائهم زي Certyneo) اللي موجودين في القائمة الموثوقة eIDAS الأوروبية. أنت مش بتشوف HSM أبدًا مباشرة أنت تتفاعل معه عن طريق المصادقة القوية (بطاقة ذكية أو Remote QES عن طريق MFA + البيومتري من eIDAS 2.0).
ايه الفرق بين HSM و KMS؟
KMS (Key Management Service) هو خدمة برمجيات بتنسق دورة حياة المفاتيح التشفيرية التوليد، الدوران، التخزين، التدقيق. HSM هو المكون الخارجي الذي ينفذ عمليات التشفير على هذه المفاتيح. الاثنين مش منافسين : KMS جادة تعتمد على HSM في الخلفية (AWS CloudHSM، Azure Dedicated HSM، Google Cloud HSM). KMS برمجيات نقية (بدون HSM) تكفي للاستخدامات الداخلية غير الحرجة ولكن لا تغطي متطلبات اللائحة التنظيمية PCI-DSS، eIDAS QES أو HIPAA HSM.
ايه المنتجات الرئيسية لـ HSM في 2026؟
سوق HSM بيسودها خمسة شركات: Thales (سلسلة Luna و payShield، الرائدة التاريخية) ، Utimaco (CryptoServer، مزود كتير من QTSP الأوروبية) ، Atos Eviden (Trustway Proteccio، مؤهل ANSSI محفز) ، Marvell LiquidSecurity (HSM السحابة الأصلية لـ AWS و Azure) و Entrust nShield. يقدم المتسلسلون التجارية عروضهم المشتركة الخاصة : AWS CloudHSM، Azure Dedicated HSM، Google Cloud HSM. للتوقيع المؤهل eIDAS، المعيار الحاسم هو شهادة Common Criteria EAL4+ مع بروفيل الحماية EN 419 221-5.
ممكن نستأجر جهاز HSM من السحابة بدل شراء واحد؟
نعم. AWS CloudHSM، Azure Dedicated HSM، و Google Cloud HSM بتأجير HSMات مخصصة معتمدة FIPS 140-2 المستوى 3 (عادة ما بين 1 و 3 يورو/ساعة). للاشتراك المؤهل eIDAS، مش كافية هذي العروض لوحدها تحتاج QTSP مؤهل يعمل HSM خاصته وهو موجود في القائمة الأوروبية الموثوق بها. ميزة HSM السحاب هي المرونة (لا CAPEX، لا صيانة مادية) ، بتكلفة الاعتماد على هيبرسكالير أمريكي في الغالب (موضوع حساس من ناحية قانون السحابة والسيادة الرقمية الأوروبية).
ازاي اتأكد ان مقدم التوقيع بيستخدم فعلا HSM معتمد؟
لازم يكون المزود في القائمة الثقة الأوروبية eIDAS (https://eidas.ec.europa.eu/) كمزود خدمة ثقة مؤهل. مش هتم بيعطيها إلا بعد تدقيق من قبل هيئة معتمدة (LSTI/COFRAC في فرنسا، TÜV في ألمانيا) بتتحقق من التوافق بين المزود المستخدم مع المعايير EN 419 221-5 و EN 419 241-2 (Remote QES منذ eIDAS 2.0). إضافةً إلى كده، اطلب من المزود رقم شهادة المعايير المشتركة لمزود خدمة الثقة الخاص به QTSP جدير بنشره في المستندات التقنية.

علشان نروح اكتر

مقالات موصى بها

محتاج توقيع مؤهل و مؤيد من HSM؟

بيعتمد Certyneo على HSMات معتمدة على المعايير المشتركة EAL4+ بتعمل من قبل QTSP مؤهل في القائمة الموثوقة eIDAS الأوروبية. QES ب9.90 €/عمل من الخطة القياسية.