
تأمين مستنداتك الموقعة بتشفير TLS
أصبح تشفير TLS ضروريًا لحماية مستنداتك الموقعة إلكترونيًا. اكتشف أفضل الممارسات لتأمين تدفقات مستنداتك بما يتوافق مع eIDAS.
وحدة الأمان الأليفية (بالإنجليزية: Hardware Security Module) هي جهاز إلكتروني لا يمكن اختراقه يقوم بتوليد وتخزين واستخدام مفاتيح التشفير دون أن يعرضها أبداً بشكل واضح خارج الصندوق. وهي المكون الأليفي الذي يجعل من الممكن التوقيع الإلكتروني المؤهل (QES) بمعنى اللائحة eIDAS، وتشفير المفتاح العام (PKI) ، وأصل الثقة لهيئة إصدار الشهادات (CA) ، وبشكل أوسع أي عملية تشفير تتطلب ضمانًا لافتًاً ومعقولاً. هذا الدليل الملموس يشرح عملياً ما هي HSM، وما هي وظيفتها، وكيف يتم اعتمادها (FIPS 140-2، FIPS 140-3، Common Criteria EAL4 ، FIPS 140+) ، ويختلف عن TMS أو KPM بمعنى برنامج نقي.
إن HSM هو عبارة عن علبة أجهزة (حاوية 1U أو بطاقة PCIe أو USB أو جهاز شبكة) تقوم بعمليات تشفير (توليد المفاتيح أو التوقيع أو التشفير أو فك الشفرة أو التشفير) داخل محيط مُغلق. لا تترك المفاتيح الخاصة HSM أبدًا: أي محاولة لاستخراج مادي تؤدي إلى حذف فوري (التلاعب بالرد). تم تصميم العلبة لتحمل الهجمات عبر القناة المساعدة (تحليل الاستهلاك الكهربائي والانبعاثات الكهرومغناطيسية وتشويش التوتر) وهجمات إعادة التحول (التسجيل الخاطئ) والرصد في المجهر الإلكتروني.
على سبيل المثال، تطبيق يريد التوقيع على وثيقة يرسل إلى HSM مكثف (شاش SHA-256) من الوثيقة عبر واجهة برمجة برمجة التطبيقات الموحدة (PKCS#11، KMIP، CNG، JCE). تقوم HSM بتوقيع الشاش بمفتاح خاص يقع حصراً في محيطها، ثم تعيد التوقيع. تحتوي الوثيقة الموقعة على التوقيع والشهادة العامة المقابلة ولكن المفتاح الخاص لا يزال محمي بشكل لا يطاق. هذا ما يميز بين توقيع مؤهل eIDAS (QES ، مدعوم من HSM من جانب مقدم الخدمة) من توقيع مؤهل بسيط (SES ، بدون قيود مادية) أو متقدم (AES ، المفتاح الذي يسيطر عليه الموقع).
إن HSM ليس ملاءمة عامة: فهي مطلوبة عندما تتطلب قوانين أو معايير أو عقود ضمانًا ماديًا لحصانة المفاتيح.
يشترط اللائحة الأوروبية eIDAS (EU 910/2014) أن يتم إنشاء توقيع مؤهل بواسطة جهاز إنشاء توقيع مؤهل (QSCD) معتمد في الواقع ، HSM معتمد على EN 419 221-5 أو Common Criteria EAL4 +. هذا هو HSM مقدم الخدمة المؤهل للثقة (QTSP) الذي يحتوي على المفتاح الخاص للموقع ويقوم بتنفيذ التوقيع.
تقوم HSM بإدارة مفاتيح التشفير الرئيسية (KEK) التي تشفر مفاتيح تشفير قواعد البيانات والأقراص (BitLocker، LUKS) أو النسخ الاحتياطية. مثال نموذجي: امتثال PCI-DSS لمعالجات الدفع، HIPAA / HDS للبيانات الصحية، السرية الدفاعية للدول.
تستخدم كل هيئة اعتماد (CA) جذر أو وسيط أو مصدر HSM لتوليد واستخدام المفتاح الذي يوقع الشهادات X.509. يجب أن يقع المفتاح الجذر لهيئة اعتماد عامة (Let's Encrypt، DigiCert، Sectigo) أو خاصة للشركة (Active Directory CS، ADFS) في HSM مصدقة.
منصات السحابة (AWS CloudHSM، Azure Dedicated HSM، Google Cloud HSM) تعرض HSMs المشتركة أو المخصصة لإدارة دورة حياة المفاتيح الكاملة: التوليد، والدوران، والتبديل، والاحتفاظ بالأرشيف، والتدمير. الميزة مقارنة مع KMS البرمجية بحتة: دليل على عدم التعدي على المنظمين والمراجعين.
يتم حماية شهادات TLS من البنية التحتية الحرجة (بوابات البنك، توقيع رمز البرمجيات، جذر CA من الشركات المصنعة لإنترنت الأشياء) بواسطة HSM. تقوم HSM بتوقيع الشهادات الخارجة دون أن تعرض المفتاح الجذر أبدًا حتى في حالة تعرض الخادم المضيف للتخريب الكامل.
لا تتساوى قيمة جميع الشهادات. يحدد مستوى الشهادة اللوائح التي يحق لها استخدام HSM (eIDAS QSCD، PCI-DSS HSM، عقود الدفاع السرية).
يحدد FIPS 140-2 (صادر في عام 2001 ، تم إزالته من الكتالوج النشط في عام 2026) وخليفته FIPS 140-3 (في السلطة منذ عام 2019 ، إلزامية للمنتجات الجديدة منذ عام 2024) 4 مستويات أمنية. المستوى 3 (المفاتيح المحذوفة إذا تم فتح المحيط) هو الحد الأدنى لـ PKI المصرفية والعامة ؛ المستوى 4 (مقاومة هجمات القناة المساعدة وتغيرات البيئة) مطلوب لبعض استخدامات الدفاع السرية.
المعايير المشتركة هي المعيار الدولي لتقييم أمن منتجات تكنولوجيا المعلومات. بالنسبة إلى HSM، مستوى المعايير المشتركة EAL4+ مع بروفيل الحماية EN 419 221-5 مطلوب بموجب نظام eIDAS لجهازات إنشاء التوقيعات المؤهلة (QSCD). هذا هو ما يستخدمه مقدمو الثقة المؤهلون الأوروبيون (QTSP).
تعرّف معايير ETSI على المتطلبات التقنية التي يجب أن يمتثل لها مقدم خدمة ثقة مؤهل (QTSP) بمعنى eIDAS بما في ذلك استخدام HSM معتمد على EN 419 221-5. تم تدقيق QTSP في القائمة الأوروبية الموثوق بها (eIDAS TL) من قبل منظمة معتمدة (في فرنسا: LSTI ، COFRAC) على هذه المعايير.
ينشر ANSSI مرجعية أمنية عامة (RGS) ويصدر مؤهلات Standard و Reinforced للمنتجات التشفيرية. ينشر BSI الألماني شهادات ما يعادلها (CSPN، BSI-TR). يمكن للإدارات العامة الوطنية أن تطلب هذه المؤهلات الوطنية بالإضافة إلى الشهادات الأوروبية.
الخيار الصحيح يعتمد على قيمة المفاتيح التي يجب حمايتها، والقيود التنظيمية، والميزانية. وهنا ستة أبعاد لتوجيه القرار.
| حجم | HSM | TPM | برمجيات KMS |
|---|---|---|---|
| الغرض | حماية المفاتيح التشفيرية للشركات والبنية التحتية (QES، PKI، KMS). | أغلق البداية و حدد الهاتف (BitLocker، شهادة TPM 2.0) مفتاح واحد لكل جهاز | مركزية دورة حياة المفاتيح في الذاكرة / القرص، دون عزل مادي. |
| سعر التشفير | عدة آلاف من توقيعات RSA-2048 في الثانية (نموذج الراقية: 25000+ sig/s). | عدد قليل من التوقيعات في الثانية | مقيد من قبل وحدة المعالجة المركزية المضيفة (غالبا < 1000 sig/s لـ RSA-2048). |
| الشهادات التنظيمية | في الفيسبوك 140-2/3، المعايير الشائعة EAL4+، EN 419 221-5 (QSCD eIDAS). | المعايير الشائعة EAL4+ لـ TPM 2.0 (مايكروسوفت بلوتون، جوجل تيتان) غير كافية لـ QES eIDAS | لا يوجد شهادة ماديّة، إيزو 27001 من المورد على أفضل وجه. |
| شكل المادة | صندوق رف 1U-2U، بطاقة PCIe، محمول USB أو جهاز شبكة مخصص، بدءاً من 8000 يورو. | شريحة مصفحة على اللوحة الأم (TPM 2.0) أو مُمجَرَّدة (vTPM). بضعة دولارات لكل جهاز. | مجاناً (HashiCorp Vault، OpenStack Barbican) أو SaaS (AWS KMS بدون CloudHSM). |
| حالة استخدام نموذجية | توقيع مؤهل eIDAS، PKI الجذر، PCI-DSS التوافق، سرية الدفاع. | بدء آمن، تشفير القرص المحلي، شهادة Windows Hello. | تشفير التطبيقات، أسرار DevOps، شهادات داخلية غير حرجة. |
| تكلفة الملكية الكلية | 8000 يورو إلى 80،000 يورو لكل جهاز + صيانة + مراجعة. يمكن مشاركتها عبر السحابة (€ / ساعة). | تكلفة هامشية (توجد بالفعل في 99٪ من أجهزة الكمبيوتر المهنية بعد عام 2016). | مجاني في المصدر المفتوح ؛ 0.03 $ / مفتاح / شهر في SaaS المدار (AWS KMS ، Azure Key Vault). |

أصبح تشفير TLS ضروريًا لحماية مستنداتك الموقعة إلكترونيًا. اكتشف أفضل الممارسات لتأمين تدفقات مستنداتك بما يتوافق مع eIDAS.

التشفير من طرف إلى طرف هو العمود الفقري التكنولوجي لسرية المستندات الموقعة إلكترونياً. فهم آلية عمله يعني إتقان أمان تبادلاتك التعاقدية.
HSM و TPM هما تقنيتا أمان أجهزة غالباً ما يتم الخلط بينهما، لكنهما يؤديان أدواراً مختلفة جداً. اكتشف كيفية اختيار الوحدة المناسبة وفقاً لاحتياجاتك.
تشفير HSM هو الأساس غير المرئي لأي توقيع إلكتروني مؤهل. فهم آلية عمله يعني إتقان الأمان التشفيري لمؤسستك.
تستند Certyneo إلى HSMs معتمدة على المعايير المشتركة EAL4+ التي يعمل بها QTSP مؤهل في القائمة الموثوقة الأوروبية eIDAS.
نستخدم ملفات تعريف الارتباط لتحسين تجربتك على موقعنا. ملفات تعريف الارتباط الضرورية بصرامة لعمل الخدمة تكون دائماً نشطة. معرفة المزيد