HSM مقابل TPM: ما الفرق وأيهما تختار؟

المقدمة: وحدتان، فلسفتان مختلفتان للأمان

في مجال علم التشفير التطبيقي وحماية المفاتيح الرقمية، تظهر تقنيتان باستمرار في نقاشات مديري الأمن المعلوماتي والمسؤولين عن الأمن: HSM (وحدة الأمان الجهازية) و TPM (وحدة المنصة الموثوقة). يشترك هذان الجهازان الماديان في هدف مشترك — حماية العمليات التشفيرية الحساسة — لكن معمارهما وحالات استخدامهما ومستويات شهاداتهما تختلف بشكل جوهري. قد يؤدي الخلط بينهما إلى اختيارات بنية تحتية غير مناسبة، بل حتى إلى ثغرات في الامتثال التنظيمي. توفر لك هذه المقالة المفاتيح لفهم الفرق بين HSM و TPM، وتحديد متى تستخدم أحدهما أو الآخر، واتخاذ أفضل قرار لمؤسستك في 2026.

---

ما هي وحدة الأمان الجهازية (HSM)؟

وحدة الأمان الجهازية هي جهاز مادي متخصص، تم تصميمه بشكل محدد لتوليد وتخزين وإدارة المفاتيح التشفيرية في بيئة محمية ماديًا ومنطقيًا. إنه مكون مستقل — غالباً ما يكون في شكل بطاقة PCIe أو جهاز شبكة أو خدمة سحابية (HSM as a Service) — تتمثل وظيفته الرئيسية في تنفيذ العمليات التشفيرية ذات الأداء العالي دون أن تعرض أبداً المفاتيح بصيغة واضحة خارج الوحدة.

الخصائص التقنية لـ HSM

يتم اعتماد وحدات HSM وفقاً لمعايير دولية صارمة، وخاصة FIPS 140-2 / FIPS 140-3 (المستويات 2 و 3 و 4) التي نشرتها الـ NIST الأمريكية، و معيار Common Criteria EAL4+ وفقاً لمعيار ISO/IEC 15408. تتطلب هذه الشهادات آليات مقاومة التزوير المادي، وكاشفات التسلل، والتدمير التلقائي للمفاتيح في حالة محاولة الاختراق.

توفر وحدة HSM النموذجية:

• قدرة معالجة عالية: حتى عدة آلاف من عمليات RSA أو ECDSA في الثانية
• تعدد الاستئجار: إدارة مئات الأقسام التشفيرية المستقلة
• واجهات موحدة: PKCS#11 و Microsoft CNG و JCA/JCE و OpenSSL engine
• سجل تدقيق شامل: تسجيل دائم لكل عملية

حالات الاستخدام النموذجية لـ HSM

وحدات HSM هي أساس التوقيع الإلكتروني المؤهل بمقتضى نظام eIDAS، حيث يجب إنشاء المفتاح الخاص للموقّع وتخزينه في جهاز إنشاء توقيع مؤهل (QSCD). كما تُزود أيضاً السلطات المصدرة للشهادات (CA/PKI) وأنظمة الدفع (HSM لبروتوكول PCI-DSS) والبنية التحتية لتشفير قواعد البيانات وبيئات التوقيع على الأكواد.

يعتمد التوقيع الإلكتروني المؤهل في المؤسسات بشكل منتظم تقريباً على وحدة HSM معتمدة كـ QSCD لضمان القيمة القانونية القصوى للتوقيعات.

---

ما هي وحدة المنصة الموثوقة (TPM)؟

وحدة المنصة الموثوقة هي شريحة أمان مدمجة مباشرة في لوحة الأم للحاسوب أو الخادم أو الجهاز المتصل. موحدة من قبل مجموعة الحوسبة الموثوقة (TCG)، حيث تتم أيضاً معايرة مواصفات TPM 2.0 تحت ISO/IEC 11889:2015، تم تصميم TPM لتأمين المنصة ذاتها بدلاً من أن تعمل كخدمة تشفيرية مركزية مشتركة.

الهندسة المعمارية والتشغيل الخاص بـ TPM

على عكس HSM، TPM هو مكون لاستخدام واحد، مرتبط بجهاز مادي محدد. لا يمكن نقله أو مشاركته بين عدة آلات. تتضمن وظائفه الرئيسية:

• قياس سلامة الإقلاع (Secure Boot و Measured Boot) عبر Platform Configuration Registers (PCR)
• تخزين المفاتيح المرتبطة بالمنصة: المفاتيح المُنتجة بواسطة TPM لا يمكن استخدامها إلا على الآلة التي أنشأتها
• توليد الأرقام العشوائية التشفيرية (RNG)
• الشهادة البعيدة: إثبات لخادم بعيد أن المنصة في حالة ثقة معروفة
• تشفير الحجم: يعتمد BitLocker على Windows و dm-crypt مع TPM على Linux مباشرة على TPM

حدود TPM للاستخدامات المتقدمة للمؤسسات

يتم اعتماد TPM 2.0 وفقاً لـ FIPS 140-2 المستوى 1 في أحسن الأحوال، وهو أقل بكثير من شهادات FIPS 140-3 المستوى 3 لوحدات HSM المهنية. قدرته على المعالجة التشفيرية محدودة (بضع عشرات من العمليات في الثانية)، ولا يدعم واجهات PKCS#11 أو CNG بشكل طبيعي كما تفعل وحدة HSM مخصصة. بخصوص التوقيع الإلكتروني المتقدم أو المؤهل، فإن TPM وحده عادة ما يكون غير كافٍ بالنسبة لمتطلبات الملحق الثاني من eIDAS على QSCD.

---

الفروقات الأساسية بين HSM و TPM: جدول مقارن

يمر فهم الفرق بين HSM و TPM وحدة المنصة الموثوقة برمز معايير المقارنة المحددة للمؤسسة.

مستوى الشهادة والتأكيد الأمني

| المعيار | HSM | TPM | |---|---|---| | شهادة FIPS | 140-3 المستويات 2 إلى 4 | 140-2 المستوى 1 | | معيار Common Criteria | EAL4+ إلى EAL7 | EAL4 | | التأهيل كـ QSCD في eIDAS | نعم (مثال: Thales Luna و Utimaco) | لا | | مقاومة التزوير المادي | متقدمة (التدمير الذاتي) | أساسية |

القدرة والقابلية للتوسع والتكامل

وحدات HSM هي أجهزة متعددة المستخدمين ومتعددة التطبيقات: يمكن لجهاز واحد على الشبكة أن يخدم مئات من العملاء والتطبيقات والخدمات في نفس الوقت عبر PKCS#11 أو REST API. يتم دمجها في معمارية توفر عالي الإتاحة (مجموعات نشطة-نشطة) وتدعم معدلات تشفيرية صناعية.

TPM، من ناحية أخرى، هو آحادي الآلة وآحادي المستأجر بالتصميم. يتفوق في تأمين محطة العمل وحماية بيانات اعتماد الوصول Windows Hello for Business وسلامة البرامج الثابتة. لتنفيذ عمليات التوقيع الإلكتروني في سير العمل الوثائقية، لا يمكن لـ TPM أن يلعب دور خدمة تشفيرية مشتركة.

التكلفة والنشر

تمثل وحدة HSM على مستوى المؤسسة (Thales Luna Network HSM و Utimaco SecurityServer و AWS CloudHSM) استثماراً بقيمة 15000 يورو إلى 80000 يورو للأجهزة داخل المقر، أو بين 1.50 يورو و 3.00 يورو في الساعة في الوضع السحابي المدار حسب الموردين. TPM، من ناحيته، مدمج بدون تكلفة إضافية في جميع أجهزة الكمبيوتر المهنية والخوادم والأنظمة المضمنة (إلزامي لـ Windows 11 منذ 2021).

---

متى تستخدم HSM، ومتى تستخدم TPM في المؤسسة؟

يعتمد الجواب على هذا السؤال على سياقك التشغيلي والتزاماتك التنظيمية وهندسة نظام المعلومات لديك.

اختر HSM من أجل:

• نشر PKI داخلية: يجب أن تقيم المفاتيح الجذرية لسلطة الشهادات الخاصة بك بشكل قاطع في وحدة HSM معتمدة للحصول على ثقة المتصفحات (CA/Browser Forum Baseline Requirements)
• إصدار التوقيعات الإلكترونية المؤهلة: وفقاً للملحق الثاني من نظام eIDAS رقم 910/2014، يجب اعتماد QSCD وفقاً لمعايير مكافئة على الأقل لـ EAL4+؛ يفصل المقارنة بين حلول التوقيع الإلكتروني هذه المتطلبات
• تأمين المعاملات المالية بحجم عالٍ: تفرض معايير PCI-DSS v4.0 (القسم 3.6) حماية مفاتيح تشفير بيانات بطاقات الائتمان في وحدات HSM
• تشفير قواعد البيانات أو السحابة: تتيح AWS CloudHSM و Azure Dedicated HSM و Google Cloud HSM الاحتفاظ بالتحكم في المفاتيح (BYOK / HYOK)
• توقيع الأكواد وتكامل سلاسل CI/CD: يتطلب التوقيع على قطع البرامج لسلسلة التوريد الآمنة وحدة HSM لمنع سرقة المفاتيح

اختر TPM من أجل:

• تأمين إقلاع محطات العمل والخوادم: يشكل Secure Boot و Measured Boot والشهادة البعيدة عبر TPM 2.0 أساس Zero Trust على الطرف النهائي
• تشفير الأقراص كاملة: يحمي BitLocker with TPM البيانات المحفوظة دون اعتماد على خدمة خارجية
• المصادقة المادية لمحطات العمل: يستخدم Windows Hello for Business بطاقة TPM لتخزين المفاتيح الخاصة للمصادقة دون إمكانية الاستخراج
• الامتثال لـ NIS2 على أمن الطروف النهائية: تفرض توجهية NIS2 (الاتحاد الأوروبي 2022/2555)، والمعاد صياغتها في القانون الفرنسي بموجب القانون الصادر في 13 يونيو 2024، تدابير تقنية متناسبة لأمن أنظمة المعلومات؛ يساهم TPM مباشرة في تأمين الأصول المادية
• مشاريع إنترنت الأشياء الصناعية: تتيح بطاقات TPM المضمنة في الأتمتة والأنظمة SCADA الشهادة البعيدة دون بنية HSM مخصصة

المعمارية الهجينة HSM + TPM

في المنظمات الكبيرة، لا يتعارض HSM و TPM: إنهما يكملان بعضهما البعض. يمكن لخادم مزود بـ TPM 2.0 أن يثبت سلامته لدى خدمة إدارة مركزية، بينما يتم تفويض العمليات التشفيرية للعمل (التوقيع وتشفير البيانات التطبيقية) إلى مجموعة HSM على الشبكة. تُوصي هندسة المعمارية هذه من قبل الـ ANSSI في دليلها حول إدارة المخاطر المتعلقة بمزودي خدمات الثقة (PSCE). قد يساعد الاطلاع على قاموس التوقيع الإلكتروني الفرق التقنية على توحيد المصطلحات عند تعريف هذه المعمارية.

الإطار القانوني والتنظيمي المعروض على HSM و TPM

يترتب على الاختيار بين HSM و TPM انعكاسات مباشرة على امتثال مؤسستك لعدة إطارات تنظيمية أوروبية ودولية.

نظام eIDAS رقم 910/2014 و eIDAS 2.0 (نظام الاتحاد الأوروبي 2024/1183)

يفرض المادة 29 من نظام eIDAS أن يتم إنشاء التوقيعات الإلكترونية المؤهلة بواسطة جهاز إنشاء توقيع مؤهل (QSCD)، معرّف في الملحق الثاني. يجب أن توفر هذه الأجهزة سرية المفتاح الخاص وتفرده وعدم قابليته للنفاذ. تُنشر قائمة QSCD المعترفة بها من قبل الهيئات الوطنية للاعتماد (في فرنسا: ANSSI). توجد وحدات HSM المعتمدة FIPS 140-3 المستوى 3 أو Common Criteria EAL4+ على هذه القوائم؛ لا توجد بطاقات TPM عليها. يعتمد موفر توقيع مثل Certyneo على وحدات HSM المؤهلة لضمان أقصى قيمة إثباتية للتوقيعات المُصدرة.

القانون المدني الفرنسي، المادتان 1366 و 1367

تعترف المادة 1366 بالقيمة القانونية للكتابة الإلكترونية "شريطة أن يتمكن من التعرف بشكل صحيح على الشخص الذي تصدر عنه وأن يتم إنشاؤها والحفاظ عليها في ظروف من شأنها أن تضمن سلامتها". تحدد المادة 1367 شروط التوقيع الإلكتروني الموثوق، مع الإحالة ضمنياً إلى متطلبات eIDAS للتوقيعات المؤهلة.

GDPR رقم 2016/679، المادتان 25 و 32

يفرض مبدأ الخصوصية بالتصميم (المادة 25) والالتزام بتدابير تقنية مناسبة (المادة 32) حماية المفاتيح التشفيرية المستخدمة لتشفير البيانات الشخصية. يشكل اللجوء إلى وحدة HSM معتمدة تدبيراً متطابقاً (أحدث التطورات بمعنى الفقرة 83 من GDPR) لإثبات الامتثال عند المراجعة من قبل CNIL.

توجهية NIS2 (الاتحاد الأوروبي 2022/2555)، المعاد صياغتها في فرنسا

تفرض توجهية NIS2، المعروضة على الكيانات الأساسية والمهمة منذ أكتوبر 2024، إلى المادة 21 تدابير إدارة المخاطر بما في ذلك أمن سلسلة التوريد البرمجية والتشفير. توفر وحدات HSM ردًا مباشراً على هذه المتطلبات للعمليات الحرجة، بينما تساهم بطاقات TPM في تأمين الطروف النهائية.

معايير ETSI

يفرض معيار ETSI EN 319 401 (المتطلبات العامة لموفري خدمات الثقة) و ETSI EN 319 411-1/2 (المتطلبات لـ CAs الذين يصدرون شهادات مؤهلة) تخزين مفاتيح CA في وحدات HSM معتمدة. يحدد معيار ETSI EN 319 132 (XAdES) و ETSI EN 319 122 (CAdES) تنسيقات التوقيع التي تفترض استخدام وحدات آمنة معتمدة.

توصيات ANSSI

تنشر ANSSI معيار RGS (المعيار العام للأمن) وأدلتها الخاصة بـ HSM، موصية باستخدام وحدات معتمدة لأي بنية تحتية PKI حساسة في المنظمات العامة و OIV/OSE. قد يشكل عدم الامتثال لهذه التوصيات إخلالاً بالالتزامات المتعلقة بـ NIS2 للكيانات المعنية.

سيناريوهات الاستخدام: HSM أو TPM حسب السياق

السيناريو 1: شركة إدارة أصول مالية بـ PKI داخلية

تحتاج شركة إدارة أصول تدير عدة مليارات من الأصول المدارة إلى التوقيع الإلكتروني على التقارير التنظيمية (AIFMD و MiFID II) وعقود الاستثمار بقيمة قانونية مؤهلة. تنشر PKI داخلية يتم فيها حماية مفاتيحها الجذرية (Root CA) والوسيطة (Issuing CA) في مجموعتي HSM على الشبكة عالية الإتاحة، معتمدة FIPS 140-3 المستوى 3. يتم إصدار الشهادات المؤهلة على وحدات HSM شريكة متوافقة مع QSCD eIDAS. النتيجة: 100 ٪ من التوقيعات لها قيمة مؤهلة، والتدقيقات التنظيمية AMF تؤكد الامتثال، وينخفض وقت توقيع وثائق الاستثمار من 4 أيام إلى أقل من ساعتين. يتم استرجاع تكلفة بنية HSM في أقل من 18 شهراً مقابل تكاليف عدم الامتثال المحتملة.

السيناريو 2: شركة صناعية صغيرة من 150 موظفاً تأمن حديقة محطات عملها

تحتاج شركة صناعية في قطاع الطيران، موردة من الرتبة الثانية تخضع لمتطلبات CMMC (نموذج نضج الأمن السيبراني) والتوصيات الخاصة بـ NIS2، إلى تأمين 150 محطة عمل Windows ضد سرقة البيانات التقنية الحساسة. ينشر RSSI BitLocker مع TPM 2.0 على كامل حديقة المحطات، مقترنة بـ Windows Hello for Business للمصادقة دون كلمة مرور. يتم دمج الشهادة البعيدة عبر TPM في حل MDM (Microsoft Intune). لا توجد حاجة لـ HSM في هذا السياق: تكفي بطاقات TPM المدمجة في محطات Dell و HP. النتيجة: يتم تقليل خطر تسرب البيانات نتيجة السرقة المادية لجهاز محمول إلى ما يقارب الصفر، ويتقدم درجة نضج الأمن السيبراني للشركة الصغيرة بنسبة 40 ٪ وفقاً للتقييم الذاتي لـ CMMC. التكلفة الإضافية: 0 يورو (TPM مدمج بالفعل في الآلات).

السيناريو 3: مشغل منصة SaaS للتوقيع الإلكتروني متعدد العملاء

يجب على مشغل SaaS يقدم خدمات التوقيع الإلكتروني لعدة مئات من شركات العملاء أن يضمن العزل التشفيري بين العملاء والتأهيل eIDAS لخدمته. ينشر معمارية بناءً على وحدات HSM في الوضع السحابي المخصص (AWS CloudHSM أو Thales DPoD)، مع قسم HSM لكل مستأجر بحجم كبير ومجموعة مشتركة للعملاء القياسيين. تستفيد كل عميل من مفاتيح معزولة في قسمه، قابلة للتدقيق بشكل مستقل. تزود بطاقات TPM خوادم التطبيق لإثبات سلامة المنصة أثناء عمليات تدقيق شهادة eIDAS (QTSP). النتيجة: يحصل المشغل على التأهيل QTSP من ANSSI، مما يسمح بإصدار توقيعات مؤهلة. يقلل نموذج HSM as a Service تكاليف capex البنية التحتية بنسبة 60 ٪ مقابل حل on-premise، وفقاً لمعايير سماسرة قطاع قابلة للمقارنة.

الخلاصة

الفرق بين HSM و TPM جوهري: HSM هي خدمة تشفيرية مشتركة، عالية الأداء ومتعددة التطبيقات، لا غنى عنها لـ PKI والتوقيعات المؤهلة eIDAS والامتثال لـ PCI-DSS أو NIS2 على نطاق واسع. TPM هي مكون ثقة مرتبط بمنصة مادية محددة، مثالية لتأمين الطروف النهائية والإقلاع الآمن والمصادقة المحلية. في معظم الهندسات المعمارية للمؤسسات الناضجة في 2026، يتعايش الاثنان مع أدوار متكاملة وغير قابلة للتبديل.

إذا كانت مؤسستك تسعى إلى نشر حل توقيع إلكتروني مؤهل يعتمد على بنية تحتية HSM معتمدة، دون إدارة التعقيد التقني داخلياً، فإن Certyneo توفر لك منصة SaaS جاهزة للاستخدام، متوافقة مع eIDAS و GDPR. اكتشف أسعار Certyneo أو اتصل بخبرائنا لإجراء تدقيق لاحتياجاتك التشفيرية.