
Assegurar els seus documents signats amb xifratge TLS
El xifratge TLS és indispensable per protegir els vostres documents signats electrònicament. Descobriu les millors pràctiques per asegurar els vostres fluxos documentals en conformitat amb eIDAS.
Un HSM (Hardware Security Module, en francès mòdul de seguretat de hardware) és un dispositiu electrònic inviolable que genera, emmagatzemar i utilitzar claus criptogràfiques sense mai exposar-les clarament fora de la caixa. És el component de material que fa possible la signatura electrònica qualificada (QES) en el sentit del Reglament eIDAS, el xifratge amb clau pública (PKI), la arrel de confiança d'una autoritat de certificació (CA), i més àmpliament qualsevol operació criptogràfica que requereixi una garantia d'inviolabilitat física i lògica.
Un HSM és una caixa de hardware (rack 1U, targeta PCIe, key USB o aparell de xarxa) que executa operacions criptogràfiques (generació de claus, signatura, xifrat, desxifrat, hash) dins d'un enclavament físic segellat. Les claus privades mai abandonen el HSM: qualsevol intent d'extracció física desencadena la eliminació immediata (tamper response).
En concret, una aplicació que vol signar un document envia al HSM el condensat (hash SHA-256) del document a través d'una API estandarditzada (PKCS#11, KMIP, CNG, JCE). El HSM signa el hash amb una clau privada que resideix exclusivament en el seu enclavament i després envia la signatura. El document signat conté la signatura i el certificat públic corresponent però la clau privada roman inviolablement protegida. Això és el que distingeix una signatura qualificada eIDAS (QES, amb suport HSM de proveïdor qualificat) d'una signatura qualificada simple (SES, sense restriccions de material) o avançada (AES, amb clau controlada pel signatari).
L'HSM no és una comoditat general: és requerit quan una regulació, norma o contracte requereix una garantia material d'inviolabilitat de les claus.
El Reglament Europeu eIDAS (UE 910/2014) exigeix que una signatura qualificada sigui generada per un dispositiu de creació de signatura qualificada (QSCD) certificat en pràctica, un HSM certificat EN 419 221-5 o Common Criteria EAL4+. És el HSM del proveïdor de serveis de confiança qualificat (QTSP) que alberga la clau privada del signatari i executa la signatura.
Els HSM gestionen les claus màster d'encrypció (Key Encryption Keys, KEK) que encripten les claus d'encriptació de bases de dades, discos (BitLocker, LUKS) o de salvaguardes.
Qualsevol autoritat de certificació (CA) arrel, intermediària o emissora utilitza un HSM per generar i utilitzar la clau que signa els certificats X.509. La clau arrel d'una CA pública (Let's Encrypt, DigiCert, Sectigo) o privada d'empresa (Active Directory CS, ADFS) ha de residir en un HSM certificat.
Les plataformes en núvol (AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM) exposen HSMs compartits o dedicats per gestionar el cicle de vida complet de les claus: generació, rotació, derivació, arxiu, destrucció.
Els certificats TLS de les infraestructures crítiques (passes bancàries, signatura de codi de programari, CA de arrels dels fabricants d'IoT) estan protegits per HSM.
No totes les certificacions tenen el mateix valor. El nivell de certificació determina les regulacions a les quals l'ús del HSM pot ser destinat (eIDAS QSCD, PCI-DSS HSM, contractes secrets de defensa).
FIPS 140-2 (publicat el 2001, retirat del catàleg actiu el 2026) i el seu successor FIPS 140-3 (en vigor des de 2019, obligatòria per a nous productes des de 2024) defineixen 4 nivells de seguretat. El nivell 3 (clavells esborrats si l'enclavament està obert) és el mínim per a la PKI bancària i pública; el nivell 4 (resistència als atacs de canal auxiliar i a les variacions de l'entorn) és necessari per a certs usos de defensa secreta.
Common Criteria és l'estàndard internacional d'avaluació de la seguretat dels productes de TI. Per als HSM, el nivell Common Criteria EAL4+ amb el Protecció Profil EN 419 221-5 és requerit pel Reglament eIDAS per a Dispositius de Creació de Signatures Qualificades (QSCD).
Les normes ETSI estableixen els requisits tècnics que ha de complir un proveïdor de serveis de confiança qualificat (QTSP) segons l'eIDAS , incloent l'ús de HSM certificats EN 419 221-5.
L'ANSSI publica un Reférencial General de Seguretat (RGS) i emana qualificacions Standard i Reinforced per a productes criptogràfics.
La bona elecció depèn del valor de les claus a protegir, de les restriccions reguladores i del pressupost.
| Dimensió | HSM | TPM | KMS programari |
|---|---|---|---|
| Propòsit | Protecció de claus criptogràfiques d'empresa i infraestructura (QES, PKI, KMS). | Segel·lar l'inici i identificar la màquina (BitLocker, certificat TPM 2.0). | Centralitzar el cicle de vida de les claus en memòria/disc, sense aïllament físic. |
| Dirança criptogràfica | Diversos milers de signatures RSA-2048 per segon (models de gran gama: 25 000+ sig/s). | Algunes signatures per segon orientat a usos locals puntuales. | Limitat pel CPU amfitrió (sovint < 1000 sig/s per RSA-2048). |
| Certificacions reguladores | FIPS 140-2/3, Common Criteria EAL4+, EN 419 221-5 (QSCD eIDAS). | Criteri comú EAL4+ per a TPM 2.0 (Microsoft Plutó, Google Titan). | No hi ha certificació material. ISO 27001 del proveïdor, si és que hi ha. |
| Forma material | Cassa rack 1U-2U, targeta PCIe, pendrive USB endureixut, o aparell de xarxa dedicat. | El chip s'enllaça a la placa mare (TPM 2.0) o virtualitzat (vTPM). | És gratuït (HashiCorp Vault, OpenStack Barbican) o SaaS (AWS KMS sense CloudHSM). |
| Cas d'ús típic | Signatura qualificada eIDAS, raíz PKI, conformitat PCI-DSS, secret de defensa. | Inici segur, xifratge del disc local, certificat de Windows Hello. | Encriptació d'aplicacions, secrets DevOps, certificats interns no crítics. |
| Cost total de possessió | Entre 8.000 i 80.000 € per aparell + manteniment + auditoria. | Cost marginal (ja present en el 99% dels PC professionals post-2016). | Gratuït en codi obert; ~ 0,03 $/codi/mès en SaaS gestionat (AWS KMS, Azure Key Vault). |

El xifratge TLS és indispensable per protegir els vostres documents signats electrònicament. Descobriu les millors pràctiques per asegurar els vostres fluxos documentals en conformitat amb eIDAS.

El xifrat d'extrem a extrem és el pilar tecnològic de la confidencialitat dels documents signats electrònicament. Entendre el seu funcionament és dominar la seguretat dels vostres intercanvis contractuals.
HSM i TPM són dues tecnologies de seguretat matèrial sovint confoses, però amb funcions molt diferenciades. Descobreix com escollir el mòdul adequat segons les teves necessitats.
El xifrat HSM és el fonament invisible de tota signatura electrònica qualificada. Entendre'n el funcionament significa dominar la seguretat criptogràfica de la vostra empresa.
Certyneo es basa en HSM certificats Common Criteria EAL4+ operats per un QTSP qualificat que figura a la llista de confiança europea eIDAS.
Utilitzem cookies per millorar la vostra experiència al nostre lloc. Les cookies estrictament necessàries per al funcionament del servei sempre estan actives. Més informació