
Zabezpečte své podepsané dokumenty pomocí šifrování TLS
Šifrování TLS se stalo nezbytné pro ochranu vašich elektronicky podepsaných dokumentů. Objevte nejlepší praktiky pro zabezpečení vašich dokumentárních toků v souladu s eIDAS.
Hardware Security Module (HSM) je neporušitelné elektronické zařízení, které generuje, ukládá a používá kryptografické klíče, aniž by je nikdy exponovalo jasně mimo skříňku. Je to hardware, který umožňuje kvalifikovaný elektronický podpis (QES) ve smyslu nařízení eIDAS, šifrování s veřejným klíčem (PKI), důvěryhodný kořen certifikační autority (CA) a širší kryptooperace vyžadující záruku fyzické a logické neporušitelnosti.
HSM je hardwarová pouzdro (rack 1U, PCIe karta, USB klíč nebo síťová zařízení), které provádí kryptografické operace (generace klíčů, podpis, šifrování, dešifrování, hašování) uvnitř zapečetěné fyzické enklavy. Soukromé klíče nikdy neopouštějí HSM: jakýkoli pokus o fyzické extrahování spouští okamžité vymazání (tamper response).
Aplikace, která chce podepsat dokument, posílá HSM kondenzát (hash SHA-256) dokumentu přes standardizované API (PKCS#11, KMIP, CNG, JCE). HSM podepíše hash soukromým klíčem, který se nachází výhradně v jeho enklavu, a pak vrátí podpis. Podepsaný dokument obsahuje podpis a odpovídající veřejný certifikát , ale soukromý klíč zůstává nedotknutelně chráněn. To odlišuje kvalifikovanou podpis eIDAS (QES, podporovaný HSM poskytovatelem) od jednoduchého (SES, bez fyzického nátlaku) nebo pokročilého (AES, klíč kontrolovaný signatářem).
HSM není veřejnou komfortní službou: je vyžadována, jakmile nařízení, norma nebo smlouva vyžaduje hmotnou záruku nedotknutelnosti klíčů.
Evropské nařízení eIDAS (EU 910/2014) vyžaduje, aby byl kvalifikovaný podpis generován prostřednictvím certifikovaného QSCD, který je v praxi certifikovaný HSM certifikovaným EN 419 221-5 nebo Common Criteria EAL4+. HSM kvalifikovaného poskytovatele důvěryhodných služeb (QTSP) je hostitelem soukromého klíče signatáře a provádí podpis.
HSM spravují klíčové šifrovací klíče (Key Encryption Keys, KEK), které šifrují šifrovací klíče databází, disků (BitLocker, LUKS) nebo záloh.
Každá kořenová, zprostředkovatelská nebo vydávající CA používá HSM k generování a používání klíče, který podepisuje certifikáty X.509. Kořenový klíč veřejné CA (Let's Encrypt, DigiCert, Sectigo) nebo soukromé CA (Active Directory CS, ADFS) musí být v certifikovaném HSM.
Cloudové platformy (AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM) nabízejí sdílené nebo specializované HSM pro správu celého životního cyklu klíčů: generace, rotace, derivace, archivování, likvidace.
TLS certifikáty pro kritické infrastruktury (bankovní brány, software podpisy, root CA výrobců IoT) jsou chráněny HSM. HSM podepisuje výstupní certifikáty bez toho, aby nikdy odhalila kořenový klíč , a to i v případě úplného narušení hostitelského serveru.
Ne všechny certifikace mají stejnou hodnotu. Úroveň certifikace určuje, k jakým regulacím je používání HSM způsobilé (eIDAS QSCD, PCI-DSS HSM, tajné kontrakty na ochranu).
FIPS 140-2 (vydaný v roce 2001, z aktivního katalogu vyňat v roce 2026) a jeho nástupce FIPS 140-3 (v platnosti od roku 2019, povinné pro nové produkty od roku 2024) definují 4 úrovně zabezpečení.
Common Criteria je mezinárodní standard pro hodnocení bezpečnosti IT produktů. Pro HSM je úroveň Common Criteria EAL4+ s ochranným profilem EN 419 221-5 požadována v nařízení eIDAS pro zařízení pro vytváření kvalifikovaných podpisů (QSCD).
ETSI normy stanoví technické požadavky, které musí splňovat kvalifikovaný poskytovatel důvěryhodných služeb (QTSP) v rámci eIDAS včetně používání HSM certifikovaných EN 419 221-5.
ANSSI vydává Generální bezpečnostní referenční standard (GRS) a vydává kvalifikace Standardní a Posílená pro kryptografické produkty. Německá BSI vydává ekvivalentní certifikace (CSPN, BSI-TR).
Zde je šest dimenzí, které vedou k rozhodování.
| Rozsah | HSM | TPM | KMS software |
|---|---|---|---|
| Účelem | Ochrana firemních a infrastrukturních kryptografických klíčů (QES, PKI, KMS). | Zapečeť start a identifikuj stroj (BitLocker, TPM 2.0 potvrzení). | Centralizovat životní cyklus klíčů do paměti/diskové disky bez fyzické izolace. |
| Kryptoměna | Několik tisíc RSA-2048 podpisů za sekundu (vysoce kvalitní modely: 25 000+ sig/s). | Několik podpisů za sekundu orientované na místní použití. | "Systémy pro snížení emisí" pro "systémy pro snížení emisí" pro "systémy pro snížení emisí" pro "systémy pro snížení emisí" pro "systémy pro snížení emisí" pro "systémy pro snížení emisí" pro "systémy pro snížení emisí" pro "systémy pro snížení emisí" pro "systémy pro snížení emisí" pro "systémy pro snížení emisí" pro "systémy pro snížení emisí" pro "systémy pro snížení emisí" pro "systémy pro snížení emisí" pro "systémy pro snížení emisí" pro "systémy pro snížení emisí" pro "systémy pro snížení emisí" pro "systémy pro snížení emisí" pro "systémy pro snížení emisí" pro "systémy pro snížení emisí" pro "systémy pro snížení emisí" pro snížení emisí z emisí z emisí z emisí z emisí z emisí z emisí z emisí z emisí z emisí z emisí z emisí z emisí z emisí z emisí z emisí z emisí z emisí z emisí z emisí z emisí z emisí z emisí z emisí z emisí z emisí z emisí z emisí z emis z emis z emis z emis z emis z emis z emis z emis z. |
| Regulační certifikace | V případě, že se jedná o zařízení, které se používají pro výrobu elektrických vozidel, musí být toto zařízení vybaveno: | Common Criteria EAL4+ pro TPM 2.0 (Microsoft Pluto, Google Titan). | Žádná certifikace materiálu. ISO 27001 od dodavatele. |
| Materiální tvar | 1U-2U racková skříňka, PCIe karta, tvrzený USB nebo speciální síťová zařízení. | Čip se spájením na materskou desku (TPM 2.0) nebo virtualizovaný (vTPM). | Bezplatné (HashiCorp Vault, OpenStack Barbican) nebo SaaS (AWS KMS bez CloudHSM). |
| Typický případ použití | eIDAS kvalifikovaná podpis, PKI kořen, PCI-DSS soulad, tajné obrany. | Bezpečný start, šifrování lokálního disku, potvrzení Windows Hello. | Aplikační šifrování, DevOps tajemství, nekritické interní certifikáty. |
| Celkové náklady na vlastnictví | 8 000 € až 80 000 € na zařízení + údržba + audit. | V případě, že se jedná o zařízení, které jsou součástí systému, je nutno určit, zda je zařízení vybaveno potřebnými informačními prvky. | Bezplatné v open-source; ~ 0,03 $/kľud/měsíc v spravovaném SaaS (AWS KMS, Azure Key Vault). |

Šifrování TLS se stalo nezbytné pro ochranu vašich elektronicky podepsaných dokumentů. Objevte nejlepší praktiky pro zabezpečení vašich dokumentárních toků v souladu s eIDAS.

Šifrování od konce ke konci je technologickým pilířem důvěrnosti elektronicky podepsaných dokumentů. Pochopení jeho fungování znamená zvládnutí bezpečnosti vašich smluvních výměn.
HSM a TPM jsou dvě technologie hardwarové bezpečnosti, které se často zaměňují, ale mají velmi odlišné role. Zjistěte, jak si vybrat správný modul podle vašich potřeb.
Šifrování HSM je neviditelným základem každého kvalifikovaného elektronického podpisu. Pochopení jeho fungování znamená ovládnout kryptografickou bezpečnost vaší společnosti.
Certyneo je založeno na certifikovaných HSM Common Criteria EAL4+ provozovaných kvalifikovaným QTSP na evropském Trusted List eIDAS.
Používáme soubory cookie k zlepšení vašeho zážitku na našem webu. Soubory cookie nezbytné pro fungování služby jsou vždy aktivní. Více informací