- Ποια είναι η διαφορά μεταξύ ενός HSM και ενός TPM;
- Ένα ΤΡΜ (Trusted Platform Module) είναι ένα τσιπ που συγκολλείται στην μητρική πλατφόρμα σχεδόν όλων των σύγχρονων επαγγελματικών υπολογιστών. Χρησιμοποιείται για να σφραγίζει την εκκίνηση, να κρυπτογραφεί τον δίσκο (BitLocker) και να αναγνωρίζει μια μηχανή με μοναδικό τρόπο. Ένα HSM (Hardware Security Module) είναι ένα αυτόνομο κουτί αφιερωμένο στη διαχείριση εταιρικών κρυπτογραφικών κλειδιών. Χρησιμοποιείται για την υπογραφή εγγράφων σε ειδικό επίπεδο eIDAS, για την υποδοχή της ρίζας μιας αρχής πιστοποίησης ή για την προστασία κλειδιών κρυπτογράφησης. Το TPM κοστίζει λίγα ευρώ ανά μηχανή. Ένα HSM κοστίζει αρκετές χιλιάδες έως δεκάδες χιλιάδες ευρώ, και έχει νόημα μόνο σε επίπεδο οργανισμού.
- Είναι η κρυπτογράφηση HSM πραγματικά αδιαβρώσιμη;
- Οι HSM που είναι πιστοποιημένες με FIPS 140-3 επίπεδο 3 ή Common Criteria EAL4+ είναι ανθεκτικές σε επιθέσεις με βοηθητικό κανάλι (αναλύσεις κατανάλωσης, ηλεκτρομαγνητικές εκπομπές), επιθέσεις με σφάλμα ένεσης (αταραχές τάσης ή θερμοκρασίας), και προκαλούν αυτόματη διαγραφή των κλειδιών σε περίπτωση φυσικού ανοίγματος του περιβλήματος (ανταποκρίσεις).
- Πρέπει να αγοράσετε ένα HSM για να χρησιμοποιήσετε την ειδική ηλεκτρονική υπογραφή;
- Όχι, εκτός αν είστε ο ίδιος πάροχος υπηρεσιών εμπιστοσύνης. Για να υπογράψετε σε QES, τα ιδιωτικά σας κλειδιά είναι αποθηκευμένα στο HSM ενός ειδικευμένου QTSP (Universign, Certinomis, LuxTrust, και των συνεργατών τους όπως Certyneo) που περιλαμβάνεται στην Ευρωπαϊκή Πιστοποιημένη Λίστα eIDAS. Δεν βλέπετε ποτέ το HSM απευθείας αλληλεπιδράτε με αυτό μέσω της ισχυρής ταυτοποίησης (φιχτή κάρτα ή Remote QES μέσω MFA + βιομετρική από το eIDAS 2.0).
- Ποια είναι η διαφορά μεταξύ HSM και KMS;
- Ένα HSM είναι το υλικό στοιχείο που εκτελεί φυσικά τις κρυπτογραφικές πράξεις σε αυτά τα κλειδιά. Τα δύο δεν είναι ανταγωνιστικά: ένα σοβαρό KMS βασίζεται σε ένα HSM στο παρασκήνιο (AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM). Ένα καθαρά λογισμικό KMS (χωρίς HSM) είναι αρκετό για εσωτερικές μη κρίσιμες χρήσεις, αλλά δεν καλύπτει τις ρυθμιστικές απαιτήσεις PCI-DSS, eIDAS QES ή HIPAA HSM.
- Ποιοι είναι οι κύριοι κατασκευαστές HSM το 2026;
- Η αγορά HSM κυριαρχείται από πέντε κατασκευαστές: Thales (ομάδες Luna και payShield, ιστορικός ηγέτης), Utimaco (CryptoServer, προμηθευτής πολλών ευρωπαϊκών QTSP), Atos Eviden (Trustway Proteccio, ενισχυμένη πιστοποίηση ANSSI), Marvell LiquidSecurity (υγενής HSM cloud για AWS και Azure) και Entrust nShield. Οι υπερβαθμιστές προσφέρουν τις δικές τους κοινές προσφορές: AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM. Για την καταρτισμένη υπογραφή eIDAS, το κρίσιμο κριτήριο είναι η πιστοποίηση Common Criteria EAL4+ με το Προστατευτικό Προφίλ EN 419 221-5.
- Μπορούμε να νοικιάσουμε ένα HSM από το σύννεφο αντί να το αγοράσουμε;
- Ναι. Τα AWS CloudHSM, Azure Dedicated HSM και Google Cloud HSM μισθώνονται από ειδικά HSM που είναι πιστοποιημένα FIPS 140-2 επίπεδο 3 (συνήθως μεταξύ 1 και 3 €/ώρα). Για την ειδική υπογραφή eIDAS, αυτές οι προσφορές δεν αρκούν από μόνες τους χρειάζεται ένα ειδικό QTSP που λειτουργεί το δικό του HSM και βρίσκεται στην Ευρωπαϊκή Πιστευτική Λίστα. Το πλεονέκτημα του HSM cloud είναι η ευελιξία (χωρίς CAPEX, χωρίς φυσική συντήρηση), με την τιμή της εξάρτησης από έναν συχνά αμερικανικό υπερ-εκκλιμακωτή (ευαίσθητο θέμα από την άποψη του νόμου Cloud και της ευρωπαϊκής ψηφιακής κυριαρχίας).
- Πώς να ελέγξετε ότι ένας πάροχος υπογραφής χρησιμοποιεί πραγματικά πιστοποιημένο HSM;
- Ο πάροχος πρέπει να είναι εγγεγραμμένος στην Ευρωπαϊκή Πιστοποιημένη Λίστα eIDAS (https://eidas.ec.europa.eu/) ως QTSP (Qualified Trust Service Provider). Η εγγραφή αυτή χορηγείται μόνο μετά από έλεγχο από έναν αναγνωρισμένο οργανισμό (στη Γαλλία LSTI/COFRAC, στη Γερμανία TÜV) ο οποίος ελέγχει μεταξύ άλλων τη συμμόρφωση του HSM που χρησιμοποιείται με τα πρότυπα EN 419 221-5 και EN 419 241-2 (Remote QES από το eIDAS 2.0).