الانتقال إلى المحتوى الرئيسي
Certyneo
الرموز المعدنية · FIPS 140-3 · CC EAL4+

HSM (وحدة أمن الأجهزة): لماذا ومتى تستخدمها

وحدة الأمان الأليفية (بالإنجليزية: Hardware Security Module) هي جهاز إلكتروني لا يمكن اختراقه يقوم بتوليد وتخزين واستخدام مفاتيح التشفير دون أن يعرضها أبداً بشكل واضح خارج الصندوق. وهي المكون الأليفي الذي يجعل من الممكن التوقيع الإلكتروني المؤهل (QES) بمعنى اللائحة eIDAS، وتشفير المفتاح العام (PKI) ، وأصل الثقة لهيئة إصدار الشهادات (CA) ، وبشكل أوسع أي عملية تشفير تتطلب ضمانًا لافتًاً ومعقولاً. هذا الدليل الملموس يشرح عملياً ما هي HSM، وما هي وظيفتها، وكيف يتم اعتمادها (FIPS 140-2، FIPS 140-3، Common Criteria EAL4 ، FIPS 140+) ، ويختلف عن TMS أو KPM بمعنى برنامج نقي.

ما هو HSM، على وجه التحديد؟

إن HSM هو عبارة عن علبة أجهزة (حاوية 1U أو بطاقة PCIe أو USB أو جهاز شبكة) تقوم بعمليات تشفير (توليد المفاتيح أو التوقيع أو التشفير أو فك الشفرة أو التشفير) داخل محيط مُغلق. لا تترك المفاتيح الخاصة HSM أبدًا: أي محاولة لاستخراج مادي تؤدي إلى حذف فوري (التلاعب بالرد). تم تصميم العلبة لتحمل الهجمات عبر القناة المساعدة (تحليل الاستهلاك الكهربائي والانبعاثات الكهرومغناطيسية وتشويش التوتر) وهجمات إعادة التحول (التسجيل الخاطئ) والرصد في المجهر الإلكتروني.

على سبيل المثال، تطبيق يريد التوقيع على وثيقة يرسل إلى HSM مكثف (شاش SHA-256) من الوثيقة عبر واجهة برمجة برمجة التطبيقات الموحدة (PKCS#11، KMIP، CNG، JCE). تقوم HSM بتوقيع الشاش بمفتاح خاص يقع حصراً في محيطها، ثم تعيد التوقيع. تحتوي الوثيقة الموقعة على التوقيع والشهادة العامة المقابلة ولكن المفتاح الخاص لا يزال محمي بشكل لا يطاق. هذا ما يميز بين توقيع مؤهل eIDAS (QES ، مدعوم من HSM من جانب مقدم الخدمة) من توقيع مؤهل بسيط (SES ، بدون قيود مادية) أو متقدم (AES ، المفتاح الذي يسيطر عليه الموقع).

خمسة استخدامات لا غنى عنها لـ HSM

إن HSM ليس ملاءمة عامة: فهي مطلوبة عندما تتطلب قوانين أو معايير أو عقود ضمانًا ماديًا لحصانة المفاتيح.

التوقيع المؤهل eIDAS (QES)

يشترط اللائحة الأوروبية eIDAS (EU 910/2014) أن يتم إنشاء توقيع مؤهل بواسطة جهاز إنشاء توقيع مؤهل (QSCD) معتمد في الواقع ، HSM معتمد على EN 419 221-5 أو Common Criteria EAL4 +. هذا هو HSM مقدم الخدمة المؤهل للثقة (QTSP) الذي يحتوي على المفتاح الخاص للموقع ويقوم بتنفيذ التوقيع.

تشفير البيانات الحساسة

تقوم HSM بإدارة مفاتيح التشفير الرئيسية (KEK) التي تشفر مفاتيح تشفير قواعد البيانات والأقراص (BitLocker، LUKS) أو النسخ الاحتياطية. مثال نموذجي: امتثال PCI-DSS لمعالجات الدفع، HIPAA / HDS للبيانات الصحية، السرية الدفاعية للدول.

هيئة التأمين (PKI)

تستخدم كل هيئة اعتماد (CA) جذر أو وسيط أو مصدر HSM لتوليد واستخدام المفتاح الذي يوقع الشهادات X.509. يجب أن يقع المفتاح الجذر لهيئة اعتماد عامة (Let's Encrypt، DigiCert، Sectigo) أو خاصة للشركة (Active Directory CS، ADFS) في HSM مصدقة.

إدارة المفاتيح التشفيرية (KMS)

منصات السحابة (AWS CloudHSM، Azure Dedicated HSM، Google Cloud HSM) تعرض HSMs المشتركة أو المخصصة لإدارة دورة حياة المفاتيح الكاملة: التوليد، والدوران، والتبديل، والاحتفاظ بالأرشيف، والتدمير. الميزة مقارنة مع KMS البرمجية بحتة: دليل على عدم التعدي على المنظمين والمراجعين.

TLS Root وشهادات الخادم الحرجة

يتم حماية شهادات TLS من البنية التحتية الحرجة (بوابات البنك، توقيع رمز البرمجيات، جذر CA من الشركات المصنعة لإنترنت الأشياء) بواسطة HSM. تقوم HSM بتوقيع الشهادات الخارجة دون أن تعرض المفتاح الجذر أبدًا حتى في حالة تعرض الخادم المضيف للتخريب الكامل.

شهادات HSM: ما يجب معرفته

لا تتساوى قيمة جميع الشهادات. يحدد مستوى الشهادة اللوائح التي يحق لها استخدام HSM (eIDAS QSCD، PCI-DSS HSM، عقود الدفاع السرية).

فيبس 140-2 و فيبس 140-3 (نيست، الولايات المتحدة)

يحدد FIPS 140-2 (صادر في عام 2001 ، تم إزالته من الكتالوج النشط في عام 2026) وخليفته FIPS 140-3 (في السلطة منذ عام 2019 ، إلزامية للمنتجات الجديدة منذ عام 2024) 4 مستويات أمنية. المستوى 3 (المفاتيح المحذوفة إذا تم فتح المحيط) هو الحد الأدنى لـ PKI المصرفية والعامة ؛ المستوى 4 (مقاومة هجمات القناة المساعدة وتغيرات البيئة) مطلوب لبعض استخدامات الدفاع السرية.

المقاييس الشائعة EAL4+ (ISO/IEC 15408 ، الدولية)

المعايير المشتركة هي المعيار الدولي لتقييم أمن منتجات تكنولوجيا المعلومات. بالنسبة إلى HSM، مستوى المعايير المشتركة EAL4+ مع بروفيل الحماية EN 419 221-5 مطلوب بموجب نظام eIDAS لجهازات إنشاء التوقيعات المؤهلة (QSCD). هذا هو ما يستخدمه مقدمو الثقة المؤهلون الأوروبيون (QTSP).

ETSI EN 319 411 و 319 412 (أوروبا)

تعرّف معايير ETSI على المتطلبات التقنية التي يجب أن يمتثل لها مقدم خدمة ثقة مؤهل (QTSP) بمعنى eIDAS بما في ذلك استخدام HSM معتمد على EN 419 221-5. تم تدقيق QTSP في القائمة الأوروبية الموثوق بها (eIDAS TL) من قبل منظمة معتمدة (في فرنسا: LSTI ، COFRAC) على هذه المعايير.

ANSSI (فرنسا) و BSI (ألمانيا)

ينشر ANSSI مرجعية أمنية عامة (RGS) ويصدر مؤهلات Standard و Reinforced للمنتجات التشفيرية. ينشر BSI الألماني شهادات ما يعادلها (CSPN، BSI-TR). يمكن للإدارات العامة الوطنية أن تطلب هذه المؤهلات الوطنية بالإضافة إلى الشهادات الأوروبية.

HSM مقابل TPM مقابل KMS البرمجيات أي حل تختار؟

الخيار الصحيح يعتمد على قيمة المفاتيح التي يجب حمايتها، والقيود التنظيمية، والميزانية. وهنا ستة أبعاد لتوجيه القرار.

حجمHSMTPMبرمجيات KMS
الغرضحماية المفاتيح التشفيرية للشركات والبنية التحتية (QES، PKI، KMS).أغلق البداية و حدد الهاتف (BitLocker، شهادة TPM 2.0) مفتاح واحد لكل جهازمركزية دورة حياة المفاتيح في الذاكرة / القرص، دون عزل مادي.
سعر التشفيرعدة آلاف من توقيعات RSA-2048 في الثانية (نموذج الراقية: 25000+ sig/s).عدد قليل من التوقيعات في الثانيةمقيد من قبل وحدة المعالجة المركزية المضيفة (غالبا < 1000 sig/s لـ RSA-2048).
الشهادات التنظيميةفي الفيسبوك 140-2/3، المعايير الشائعة EAL4+، EN 419 221-5 (QSCD eIDAS).المعايير الشائعة EAL4+ لـ TPM 2.0 (مايكروسوفت بلوتون، جوجل تيتان) غير كافية لـ QES eIDASلا يوجد شهادة ماديّة، إيزو 27001 من المورد على أفضل وجه.
شكل المادةصندوق رف 1U-2U، بطاقة PCIe، محمول USB أو جهاز شبكة مخصص، بدءاً من 8000 يورو.شريحة مصفحة على اللوحة الأم (TPM 2.0) أو مُمجَرَّدة (vTPM). بضعة دولارات لكل جهاز.مجاناً (HashiCorp Vault، OpenStack Barbican) أو SaaS (AWS KMS بدون CloudHSM).
حالة استخدام نموذجيةتوقيع مؤهل eIDAS، PKI الجذر، PCI-DSS التوافق، سرية الدفاع.بدء آمن، تشفير القرص المحلي، شهادة Windows Hello.تشفير التطبيقات، أسرار DevOps، شهادات داخلية غير حرجة.
تكلفة الملكية الكلية8000 يورو إلى 80،000 يورو لكل جهاز + صيانة + مراجعة. يمكن مشاركتها عبر السحابة (€ / ساعة).تكلفة هامشية (توجد بالفعل في 99٪ من أجهزة الكمبيوتر المهنية بعد عام 2016).مجاني في المصدر المفتوح ؛ 0.03 $ / مفتاح / شهر في SaaS المدار (AWS KMS ، Azure Key Vault).

الأسئلة الشائعة HSM

ما الفرق بين HSM و TPM؟
وحدة التشفير الثقة (بالإنجليزية: Trusted Platform Module) هي شريحة مصفحة على بطاقة الأم لجميع أجهزة الكمبيوتر المهنية الحديثة تقريبًا. وهي تستخدم لإغلاق البداية وتشفير القرص (BitLocker) وتحديد جهاز بشكل فريد. وحدة التشفير الثابت (HSM) هي علبة مستقلة مخصصة لإدارة المفاتيح التشفيرية للشركة.
هل الشفرة HSM حقاً لا يمكن اختراقها؟
لا توجد حماية مطلقة، ولكن تشفير HSM هو أعلى مستوى من الحماية المادية المتاحة حاليًا. HSMs معتمدة FIPS 140-3 المستوى 3 أو المعايير المشتركة EAL4+ مقاومة للهجمات عبر القناة المساعدة (تحليل الاستهلاك، الإشعاعات الكهرومغناطيسية) ، هجمات الحقن الخاطئ (اضطرابات التوتر أو الحرارة) ، وتشعل مسحًا تلقائيًا للمفاتيح عند فتح الصندوق جسديًا (ردود فعل التلاعب). لم يتم توثيق أي تعرض علني لـ HSMs تعمل بشكل صحيح في منتصف الإنتاج على مدى السنوات العشر الماضية.
هل يجب شراء جهاز HSM لاستخدام التوقيع الإلكتروني المؤهل؟
لا، إلا إذا كنت أنت نفسك مزود خدمة ثقة. للتوقيع في QES، يتم تخزين مفاتيحك الخاصة في HSM من QTSP مؤهل (Universign، Certinomis، LuxTrust، وشركائهم مثل Certyneo) المدرجة في القائمة الأوروبية الموثوق بها eIDAS. أنت لا ترى HSM مباشرة تتفاعل معها عبر المصادقة القوية (بطاقة ذكية أو Remote QES عبر MFA + البيومترية منذ eIDAS 2.0).
ما الفرق بين HSM و KMS؟
خدمة إدارة المفاتيح (KMS) هي خدمة برمجية تقوم بتنظيم دورة حياة المفاتيح التشفيرية التوليد والدوران والاحتفاظ والتحقق. و HSM هو المكون الخارجي الذي يؤدي عمليات التشفير على هذه المفاتيح. لا يتنافسان: تعتمد KMS الجدية على HSM في الخلفية (AWS CloudHSM ، Azure Dedicated HSM ، Google Cloud HSM). KMS البرمجية البحتة (بدون HSM) كافية للاستخدامات الداخلية غير الحرجة ولكن لا تغطي متطلبات التنظيمات PCI-DSS ، eIDAS QES أو HIPAA HSM.
ما هي الشركات الرئيسية في صناعة الـ HSM في عام 2026؟
يهيمن سوق HSM على خمسة شركات: Thales (سلسلة Luna و payShield ، الرائدة التاريخية) ، Utimaco (CryptoServer ، مزود العديد من QTSP الأوروبية) ، Atos Eviden (Trustway Proteccio ، مؤهل ANSSI المعزز) ، Marvell LiquidSecurity (HSM السحاب الأصلي لـ AWS و Azure) ، و Entrust nShield. تقدم الشركات المتناسقة عروضها المشتركة الخاصة: AWS CloudHSM ، Azure Dedicated HSM ، Google Cloud HSM. للتوقيع المؤهل eIDAS ، فإن المعيار الحاسم هو شهادة Common Criteria EAL4+ مع بروفيل الحماية EN 419 221-5.
هل يمكننا استئجار جهاز HSM من السحابة بدلاً من شراء جهاز؟
نعم. تستأجر AWS CloudHSM و Azure Dedicated HSM و Google Cloud HSM HSM مخصصة معتمدة FIPS 140-2 المستوى 3 (عادة ما بين 1 و 3 € / ساعة). للتوقيع المؤهل eIDAS ، هذه العروض ليست كافية بمفردها تحتاج إلى QTSP مؤهل يعمل HSM الخاص به وهو موجود في القائمة الأوروبية الموثوق بها. ميزة HSM السحابية هي المرونة (لا CAPEX ، لا صيانة مادية) ، مقابل الاعتماد على هيبرسكالير أمريكي في كثير من الأحيان (موضوع حساس في ضوء قانون Cloud و السيادة الرقمية الأوروبية).
كيف يمكن التحقق من أن مقدم التوقيع يستخدم بالفعل جهاز HSM معتمد؟
يجب أن يكون مقدم الخدمة على القائمة الثقة الأوروبية لـ eIDAS (https://eidas.ec.europa.eu/) كـ QTSP (مقدم خدمة ثقة مؤهل). لا يتم إصدار هذا الإدراج إلا بعد مراجعة من قبل هيئة معتمدة (LSTI/COFRAC في فرنسا ، TÜV في ألمانيا) والتي تحقق في المثال من امتثال HSM المستخدمة لمعايير EN 419 221-5 و EN 419 241-2 (Remote QES منذ eIDAS 2.0). بالإضافة إلى ذلك ، اطلب من مقدم الخدمة رقم شهادة Common Criteria لـ HSMs QTSP جدير بالثقة ينشر ذلك في وثائقته التقنية.

للذهاب إلى أبعد من ذلك

مقالات موصى بها

هل تحتاج إلى توقيع مؤهل مدعوم بـ (إتش إس إم) ؟

تستند Certyneo إلى HSMs معتمدة على المعايير المشتركة EAL4+ التي يعمل بها QTSP مؤهل في القائمة الموثوقة الأوروبية eIDAS.