HSM مقابل TPM: ما الفرق وأيهما تختار؟

مقدمة: وحدتان، فلسفتان مختلفتان للأمان

في مجال التشفير التطبيقي وحماية المفاتيح الرقمية، تظهر تقنيتان بشكل منتظم في نقاشات مسؤولي الأمن المعلوماتي (CISOs) وخبراء الأمان (RSSIs): HSM (وحدة الأمان الأجهزة) و TPM (وحدة المنصة الموثوقة). يشترك هذان الجهازان في هدف مشترك — حماية العمليات التشفيرية الحساسة — إلا أن معمارهما وحالات استخدامهما ومستويات شهاداتهما تختلف بشكل جوهري. الخلط بين الاثنين قد يؤدي إلى اختيارات بنية تحتية غير مناسبة، وحتى إلى ثغرات في الامتثال التنظيمي. تمنحك هذه المقالة المفاتيح لفهم الفرق بين HSM و TPM، وتحديد متى تستخدم أحدهما أو الآخر، واتخاذ أفضل قرار لمؤسستك في 2026.

---

ما هي وحدة الأمان الأجهزة (HSM)؟

وحدة الأمان الأجهزة هي جهاز أجهزة مخصص، مصمم خصيصاً لتوليد وتخزين وإدارة المفاتيح التشفيرية في بيئة محمية فعلياً ومنطقياً. إنها مكون مستقل — غالباً ما تكون بصيغة بطاقة PCIe أو جهاز شبكة أو خدمة سحابية (HSM as a Service) — وظيفتها الأساسية هي تنفيذ عمليات تشفيرية بأداء عالي دون تعريض المفاتيح بصيغتها الواضحة خارج الوحدة.

المميزات التقنية لـ HSM

يتم شهادة HSMs وفقاً لمعايير دولية صارمة، خاصة FIPS 140-2 / FIPS 140-3 (المستويات 2 و 3 و 4) التي نشرتها المعهد الوطني للمعايير والتكنولوجيا الأمريكي (NIST)، و Common Criteria EAL4+ وفقاً لمعيار ISO/IEC 15408. تتضمن هذه الشهادات آليات مقاومة العبث الفعلي (tamper-resistance)، وكواشف الاختراق، والتدمير التلقائي للمفاتيح في حالة محاولة الاختراق.

توفر HSM نموذجية:

• قدرة معالجة عالية: حتى عدة آلاف من عمليات RSA أو ECDSA في الثانية
• تعدد الحيازة: إدارة مئات المقسمات التشفيرية المستقلة
• واجهات قياسية: PKCS#11 و Microsoft CNG و JCA/JCE و OpenSSL engine
• سجل تدقيق كامل: تسجيل لا يمكن تغييره لكل عملية

حالات الاستخدام النموذجية لـ HSM

تشكل HSMs جوهر التوقيع الإلكتروني المؤهل بمعنى لائحة eIDAS، حيث يجب توليد المفتاح الخاص للموقِّع وتخزينه في جهاز إنشاء توقيع مؤهل (QSCD). كما أنها تزود سلطات التصديق (CA/PKI) وأنظمة الدفع (HSM لبروتوكول PCI-DSS) والبنى التحتية لتشفير قواعد البيانات وبيئات التوقيع على الأكواد.

يعتمد التوقيع الإلكتروني المؤهل في المؤسسات بشكل شبه منتظم على HSM معتمد بوصفه QSCD لضمان أقصى قيمة قانونية للتوقيعات.

---

ما هي وحدة المنصة الموثوقة (TPM)؟

وحدة المنصة الموثوقة هي شريحة أمان مدمجة مباشرة على لوحة الأم لجهاز كمبيوتر أو خادم أو جهاز متصل. موحدة من قبل مجموعة الحوسبة الموثوقة (TCG)، حيث تعتبر مواصفات TPM 2.0 أيضاً معايير قياسية تحت ISO/IEC 11889:2015، تم تصميم TPM لتأمين المنصة نفسها بدلاً من العمل كخدمة تشفيرية مركزية مشتركة.

العمارة والعمل الوظيفي لـ TPM

بخلاف HSM، فإن TPM هو مكون لاستخدام واحد، مرتبط بجهاز أجهزة دقيق. لا يمكن نقله أو مشاركته بين عدة آلات. تتضمن وظائفه الأساسية:

• قياس سلامة الإقلاع (Secure Boot و Measured Boot) عبر سجلات تكوين المنصة (PCR)
• تخزين مفاتيح مرتبط بالمنصة: المفاتيح التي ينشئها TPM لا يمكن استخدامها إلا على الجهاز الذي أنشأها
• توليد الأرقام العشوائية التشفيرية (RNG)
• الشهادة البعيدة: إثبات لخادم بعيد أن المنصة في حالة ثقة معروفة
• تشفير المجلد: يعتمد BitLocker على Windows و dm-crypt مع TPM على Linux بشكل مباشر على TPM

قيود TPM للاستخدامات المتقدمة للمؤسسات

يتم شهادة TPM 2.0 في أفضل الأحوال FIPS 140-2 المستوى 1، وهو أقل بكثير من شهادات FIPS 140-3 المستوى 3 لوحدات HSM المهنية. قدرة معالجتها التشفيرية محدودة (عشرات العمليات فقط في الثانية)، كما أنها لا تدعم واجهات PKCS#11 أو CNG بشكل طبيعي بنفس اكتمالية HSM مخصصة. بالنسبة لـ التوقيع الإلكتروني المتقدم أو المؤهل، عادة ما يكون TPM وحده غير كافٍ وفقاً لمتطلبات الملحق الثاني لقانون eIDAS على QSCDs.

---

الفروقات الجوهرية بين HSM و TPM: جدول المقارنة

يتطلب فهم الفرق بين HSM و TPM Trusted Platform Module مقارنة منظمة للمعايير المحددة للمؤسسة.

مستوى الشهادة وضمان الأمان

| المعيار | HSM | TPM | |---|---|---| | شهادة FIPS | 140-3 المستويات 2 إلى 4 | 140-2 المستوى 1 | | معايير شائعة | EAL4+ إلى EAL7 | EAL4 | | التأهيل eIDAS QSCD | نعم (مثل Thales Luna و Utimaco) | لا | | مقاومة التزييف الفعلية | متقدمة (التدمير الذاتي) | أساسية |

القدرة والقابلية للتوسع والتكامل

HSMs هي أجهزة متعددة المستخدمين ومتعددة التطبيقات: جهاز شبكة واحد يمكن أن يخدم بشكل متزامن مئات العملاء والتطبيقات والخدمات عبر PKCS#11 أو REST API. تتكامل في بنى عالية التوفر (مجموعات نشطة-نشطة) وتدعم معدلات معالجة تشفيرية صناعية.

TPM، من ناحية أخرى، هو أحادي الجهاز وأحادي المستأجر بالتصميم. يتفوق في تأمين محطات العمل وحماية بيانات اعتماد Windows Hello for Business وسلامة البرامج الثابتة. للعمليات التوقيع الإلكتروني في سير عمل التوثيق، لا يمكن لـ TPM أن يؤدي دور خدمة تشفيرية مشتركة.

التكلفة والنشر

HSM الشبكة على مستوى المؤسسات (Thales Luna Network HSM أو Utimaco SecurityServer أو AWS CloudHSM) يمثل استثماراً بقيمة 15000 يورو إلى 80000 يورو للأجهزة المحلية، أو بين 1.50 يورو و 3.00 يورو في الساعة في الوضع السحابي المدار حسب الموفرين. TPM، من ناحية أخرى، مدمج بدون تكلفة إضافية في جميع أجهزة الحاسوب الشخصية المهنية والخوادم والأنظمة المدمجة تقريباً منذ 2014 (إلزامي لـ Windows 11 منذ 2021).

---

متى تستخدم HSM ومتى تستخدم TPM في المؤسسة؟

يعتمد الجواب على هذا السؤال على السياق التشغيلي لديك والالتزامات التنظيمية والعمارة النظام المعلوماتي لديك.

اختر HSM لـ:

• نشر PKI داخلية: يجب أن تقيم مفاتيح سلطة التصديق الجذرية بالضرورة في HSM معتمد للحصول على ثقة المتصفحات (متطلبات CA/Browser Forum Baseline)
• إصدار التوقيعات الإلكترونية المؤهلة: وفقاً للملحق الثاني من قانون eIDAS رقم 910/2014، يجب أن تكون QSCDs معتمدة وفقاً لمعايير مكافئة لـ EAL4+ كحد أدنى؛ مقارنة حلول التوقيع الإلكتروني تفصل هذه المتطلبات
• تأمين المعاملات المالية بحجم كبير: تفرض معايير PCI-DSS v4.0 (القسم 3.6) حماية مفاتيح تشفير بيانات بطاقات الائتمان في HSMs
• تشفير قواعد البيانات أو السحابة: AWS CloudHSM و Azure Dedicated HSM و Google Cloud HSM تسمح بالحفاظ على السيطرة على المفاتيح (BYOK / HYOK)
• التوقيع على الأكواد وسلامة بناء CI/CD: توقيع القطع الفنية للسلسلة الآمنة يتطلب HSM لمنع سرقة المفاتيح

اختر TPM لـ:

• تأمين إقلاع محطات العمل والخوادم: يشكل Secure Boot + Measured Boot + الشهادة البعيدة عبر TPM 2.0 أساس Zero Trust على الطرف الطرفي
• تشفير الأقراص الكامل: يحمي BitLocker with TPM البيانات في حالة السكون دون الاعتماد على خدمة خارجية
• المصادقة المادية لمحطات العمل: يستخدم Windows Hello for Business من TPM لتخزين مفاتيح المصادقة الخاصة دون إمكانية الاستخراج
• الامتثال لـ NIS2 حول أمان الأطراف الطرفية: تفرض توجيهية NIS2 (الاتحاد الأوروبي 2022/2555)، المنقولة إلى القانون الفرنسي بموجب القانون المؤرخ 13 يونيو 2024، تدابير تقنية متناسبة لأمان أنظمة المعلومات؛ يساهم TPM بشكل مباشر في تأمين الأصول المادية
• مشاريع إنترنت الأشياء الصناعية: تسمح TPMs المدمجة في المشغلات الآلية والأنظمة SCADA بالشهادة البعيدة دون البنية الأساسية HSM المخصصة

العمائر الهجينة HSM + TPM

في المنظمات الكبيرة، HSM و TPM لا يتعارضان: بل يتكاملان. يمكن لخادم مزود بـ TPM 2.0 الشهادة على سلامته أمام خدمة إدارة مركزية، بينما يتم تفويض العمليات التشفيرية التجارية (التوقيع وتشفير البيانات التطبيقية) إلى مجموعة شبكة HSM. يوصى بهذه العمارة من قبل ANSSI في دليلها حول السيطرة على المخاطر المتعلقة بموفري خدمات الثقة (PSCE). يمكن لاستشارة قاموس التوقيع الإلكتروني أن تساعد الفرق التقنية على توحيد المصطلحات عند تحديد هذه العمارة.

الإطار القانوني والتنظيمي المعمول به لـ HSM و TPM

يرتبط اختيار HSM و TPM مباشرة بامتثال مؤسستك لعدة معايير تنظيمية أوروبية ودولية.

لائحة eIDAS رقم 910/2014 و eIDAS 2.0 (لائحة الاتحاد الأوروبي 2024/1183)

يفرض المادة 29 من لائحة eIDAS أن توقع التوقيعات الإلكترونية المؤهلة بوسيلة جهاز إنشاء توقيع مؤهل (QSCD)، المعرّف في الملحق الثاني. يجب أن تضمن هذه الأجهزة السرية المفتاح الخاص وتفرده وعدم انتهاكه. يتم نشر قائمة QSCDs المعترف بها من قبل الهيئات الوطنية للاعتماد (في فرنسا: ANSSI). تظهر وحدات HSM المعتمدة FIPS 140-3 المستوى 3 أو معايير شائعة EAL4+ على هذه القوائم؛ TPMs لا تظهر. يعتمد موفر التوقيع مثل Certyneo على HSMs المؤهلة لضمان أقصى قيمة إثباتية للتوقيعات المصدرة.

القانون المدني الفرنسي والمواد 1366 و 1367

تعترف المادة 1366 بالقيمة القانونية للوثيقة الإلكترونية "بشرط أن يمكن تحديد الشخص الذي تصدر عنه بشكل صحيح وأن تكون مُنشأة محفوظة بطريقة تضمن سلامتها". توضح المادة 1367 شروط التوقيع الإلكتروني الموثوق، مما يحيل ضمنياً إلى متطلبات eIDAS للتوقيعات المؤهلة.

GDPR رقم 2016/679، المواد 25 و 32

يفرض مبدأ الخصوصية بالتصميم (المادة 25) والتزام التدابير التقنية المناسبة (المادة 32) حماية المفاتيح التشفيرية المستخدمة لتشفير البيانات الشخصية. يشكل اللجوء إلى HSM معتمد مقياس الحالة الفنية الحالية (الحالة الفنية الحالية بمعنى الإعتبار 83 من GDPR) لإثبات الامتثال أثناء فحص CNIL.

توجيهية NIS2 (الاتحاد الأوروبي 2022/2555)، المنقولة إلى فرنسا

تفرض توجيهية NIS2، المعمول بها للكيانات الأساسية والمهمة منذ أكتوبر 2024، في المادة 21 تدابير إدارة المخاطر بما في ذلك أمان سلسلة الإمداد البرمجية والتشفير. توفر HSMs استجابة مباشرة لهذه المتطلبات للعمليات الحرجة، بينما تساهم TPMs في تأمين الأطراف الطرفية.

معايير ETSI

يفرض المعيار ETSI EN 319 401 (المتطلبات العامة لموفري خدمات الثقة) و ETSI EN 319 411-1/2 (متطلبات سلطات التصديق التي تصدر شهادات مؤهلة) تخزين مفاتيح CA في HSMs معتمدة. يعرّف المعيار ETSI EN 319 132 (XAdES) و ETSI EN 319 122 (CAdES) تنسيقات التوقيع التي تفترض استخدام وحدات محمية معتمدة.

توصيات ANSSI

تنشر ANSSI المرجعية RGS (المرجعية العامة للأمان) وأدلتها على HSM، موصية باستخدام وحدات معتمدة لأي بنية أساسية PKI حساسة في المنظمات العامة والـ OIVs/OSEs. قد يشكل عدم الامتثال لهذه التوصيات انتهاكاً للالتزامات NIS2 للكيانات المعنية.

سيناريوهات الاستخدام: HSM أو TPM حسب السياق

السيناريو 1: شركة إدارة الأصول المالية ببنية PKI داخلية

تحتاج شركة إدارة أصول تدير عدة مليارات من الأصول تحت الإدارة إلى التوقيع الإلكتروني للتقارير التنظيمية (AIFMD و MiFID II) والعقود الاستثمارية بقيمة قانونية مؤهلة. تنشر بنية PKI داخلية حيث تكون مفاتيح الجذر (Root CA) والمفاتيح الوسيطة (Issuing CA) محمية في مجموعة HSM شبكة بتوفر عالي، معتمدة FIPS 140-3 المستوى 3. يتم إصدار الشهادات المؤهلة على HSMs الشركاء المطابقة لـ eIDAS QSCD. النتيجة: 100٪ من التوقيعات لها قيمة مؤهلة، والتدقيقات التنظيمية لـ AMF تؤكد الامتثال، وينخفض وقت التوقيع على وثائق الاستثمار من 4 أيام إلى أقل من ساعتين. تُموّل تكلفة البنية الأساسية HSM في أقل من 18 شهراً بالمقارنة مع تكاليف عدم الامتثال المحتملة.

السيناريو 2: شركة صناعية صغيرة بـ 150 موظفاً تأمين مراكزها من أجهزة الحاسوب الشخصية

تحتاج شركة صناعية في قطاع الفضاء والصناعات، مورد من الدرجة الثانية يخضع لمتطلبات CMMC (نموذج نضج الأمن السيبراني) والتوصيات NIS2، إلى تأمين 150 محطة عمل Windows ضد سرقة البيانات التقنية الحساسة. ينشر RSSI BitLocker مع TPM 2.0 على المجموعة بأكملها، مقترنة بـ Windows Hello for Business للمصادقة بدون كلمة مرور. يتم دمج الشهادة البعيدة عبر TPM في محلول MDM (Microsoft Intune). لا تكون هناك حاجة لأي HSM في هذا السياق: يكفي TPM المدمج في أجهزة Dell و HP. النتيجة: ينخفض خطر تسرب البيانات بعد سرقة جسدية للكمبيوتر المحمول إلى ما يقرب من الصفر، ويتقدم درجة نضج الأمن السيبراني للشركة الصغيرة بنسبة 40٪ وفقاً لتقييم CMMC الذاتي. التكلفة الإضافية: 0 يورو (TPM مدمج بالفعل في الآلات).

السيناريو 3: مشغل منصة SaaS للتوقيع الإلكتروني متعدد العملاء

يجب على مشغل SaaS الذي يقدم خدمات التوقيع الإلكتروني لعدة مئات من شركات العملاء ضمان العزلة التشفيرية بين العملاء وتأهيل eIDAS للخدمة. ينشر عمارة بناءً على HSM في وضع سحابي مخصص (AWS CloudHSM أو Thales DPoD)، مع قسم HSM لكل مستأجر بحجم كبير ومجموعة مشتركة لعملاء المعايير. يستفيد كل عميل من مفاتيح معزولة في قسمه الخاص، قابلة للمراجعة بشكل مستقل. تزود TPMs خوادم التطبيقات لشهادة سلامة المنصة عند تدقيقات شهادة eIDAS (QTSP). النتيجة: يحصل المشغل على تأهيل QTSP من ANSSI، مما يسمح بإصدار توقيعات مؤهلة. يقلل نموذج HSM as a Service من capex البنية الأساسية بنسبة 60٪ مقارنة بحل محلي الاستضافة، وفقاً لمقاييس القطاع القابلة للمقارنة.

الخلاصة

الفرق بين HSM و TPM أساسي: HSM هي خدمة تشفيرية مشتركة وعالية الأداء ومتعددة التطبيقات، لا غنى عنها لـ PKIs والتوقيعات المؤهلة eIDAS والامتثال PCI-DSS أو NIS2 على نطاق واسع. TPM هو مكون ثقة مرتبط بمنصة أجهزة دقيقة، مثالي لتأمين الأطراف الطرفية والتمهيد الآمن والمصادقة المحلية. في غالبية بنى المؤسسات الناضجة في 2026، يتعايش الاثنان بأدوار متكاملة وغير قابلة للاستبدال.

إذا كانت مؤسستك تسعى لنشر حل توقيع إلكتروني مؤهل يعتمد على بنية HSM معتمدة، دون إدارة التعقيد التقني داخلياً، توفر Certyneo لك منصة SaaS كاملة، متوافقة مع eIDAS و RGPD. اكتشف أسعار Certyneo أو اتصل بخبرائنا للحصول على تدقيق احتياجاتك التشفيرية.