Μετάβαση στο κύριο περιεχόμενο
Certyneo
Ειδικότερα, η χρήση των εν λόγω τεχνολογιών μπορεί να έχει ως αποτέλεσμα την παραγωγή νέων τεχνολογιών.

Η ΕΥΑ (Ευρωπαϊκή Υπηρεσία Ελέγχου της Υλικής Ενέργειας)

Ένα HSM (Hardware Security Module, στα γαλλικά hardware security module) είναι μια απαραβίαστη ηλεκτρονική συσκευή που παράγει, αποθηκεύει και χρησιμοποιεί κρυπτογραφικά κλειδιά χωρίς ποτέ να τα εκθέτει καθαρά έξω από το κουτί.

Τι είναι ένα HSM, συγκεκριμένα;

Ένα HSM είναι ένα υλικό δοχείο (rack 1U, κάρτα PCIe, USB ή συσκευή δικτύου) που εκτελεί κρυπτογραφικές λειτουργίες (γεννήσεων κλειδιών, υπογραφής, κρυπτογράφησης, αποκρυπτογράφησης, χάσινγκ) μέσα σε ένα σφραγισμένο φυσικό ενκλάβο.

Η υπογραφή του εγγράφου που υπογράφεται περιέχει την υπογραφή και το αντίστοιχο δημόσιο πιστοποιητικό αλλά το ιδιωτικό κλειδί παραμένει αδιαβρώστερα προστατευμένο. Αυτό διακρίνει μια ειδική υπογραφή eIDAS (QES, υποστηριζόμενη από HSM από τον πάροχο) από μια απλή υπογραφή (SES, χωρίς υλικούς περιορισμούς) ή προηγμένη υπογραφή (AES, κλειδί που ελέγχεται από τον υπογράφοντα).

Πέντε χρήσεις όπου είναι απαραίτητη η HSM

Το HSM δεν είναι μια ευκολία για το κοινό: απαιτείται από τη στιγμή που ένας κανονισμός, ένα πρότυπο ή μια σύμβαση απαιτεί μια υλική εγγύηση αδιαβράδαντων κλειδιών.

Ειδική υπογραφή (QES)

Ο ευρωπαϊκός κανονισμός eIDAS (ΕΕ 910/2014) απαιτεί να παράγεται μια ειδική υπογραφή από μια συσκευή δημιουργίας ειδικών υπογραφών (QSCD) που είναι πιστοποιημένη στην πράξη, από HSM πιστοποιημένο EN 419 221-5 ή Common Criteria EAL4+. Το HSM του ειδικού πάροχου εμπιστοσύνης (QTSP) είναι αυτό που στεγάζει το ιδιωτικό κλειδί του υπογράφοντα και εκτελεί την υπογραφή.

Κρυπτογράφηση ευαίσθητων δεδομένων

Τα HSM διαχειρίζονται τα βασικά κλειδιά κρυπτογράφησης (Key Encryption Keys, KEK) που κρυπτογραφούν τα κλειδιά κρυπτογράφησης των βάσεων δεδομένων, των δίσκων (BitLocker, LUKS) ή των ασφαλίστρων.

Πιστοποιητική αρχή (PKI)

Κάθε ρίζα, μεσολάβηση ή εκδίδουσα αρχή πιστοποίησης (CA) χρησιμοποιεί ένα HSM για να παράγει και να χρησιμοποιεί το κλειδί που υπογράφει τα πιστοποιητικά X.509. Το κλειδί ρίζας μιας δημόσιας (Let's Encrypt, DigiCert, Sectigo) ή ιδιωτικής εταιρικής (Active Directory CS, ADFS) CA πρέπει να κατοικεί σε πιστοποιημένο HSM.

Διαχείριση κρυπτογραφικών κλειδιών (KMS)

Οι πλατφόρμες cloud (AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM) παρουσιάζουν HSM που είναι μοιρασμένα ή αφιερωμένα για τη διαχείριση του πλήρους κύκλου ζωής των κλειδιών: δημιουργία, περιστροφή, παράδοση, αρχειοθέτηση, καταστροφή.

Ράτση TLS και Κριτικά Πιστοποιητικά Σερβερών

Τα πιστοποιητικά TLS των κρίσιμων υποδομών (τραπεζικές πύλες, υπογραφή κώδικα λογισμικού, root CA των κατασκευαστών IoT) προστατεύονται από το HSM. Το HSM υπογράφει τα εξερχόμενα πιστοποιητικά χωρίς ποτέ να εκθέτει το root key ακόμη και σε περίπτωση πλήρους παραβίασης του διακομιστή υποδοχής.

Πιστοποιητικά HSM: τι πρέπει να γνωρίζετε

Το επίπεδο πιστοποίησης καθορίζει τους κανονισμούς στους οποίους η χρήση του HSM μπορεί να δικαιούται (eIDAS QSCD, PCI-DSS HSM, αμυντικές συμβάσεις).

Το FIPS 140-2 και το FIPS 140-3 (NIST, ΗΠΑ)

Το FIPS 140-2 (εκδόθηκε το 2001, αποσύρθηκε από τον ενεργό κατάλογο το 2026) και ο διάδοχός του FIPS 140-3 (ενεργό από το 2019, υποχρεωτικό για νέα προϊόντα από το 2024) ορίζουν 4 επίπεδα ασφαλείας.

Η χρήση του εν λόγω συστήματος είναι απαραίτητη για την επίτευξη των στόχων του παρόντος κανονισμού.

Το Common Criteria είναι το διεθνές πρότυπο αξιολόγησης της ασφάλειας των προϊόντων πληροφορικής. Για τα HSM, το επίπεδο Common Criteria EAL4+ με το Προφίλ Προστασίας EN 419 221-5 απαιτείται από τον κανονισμό eIDAS για τις συσκευές δημιουργίας ειδικών υπογραφών (QSCD).

ΕΤΣΙ EN 319 411 και 319 412 (Ευρώπη)

Τα πρότυπα ETSI καθορίζουν τις τεχνικές απαιτήσεις που πρέπει να τηρούν οι ειδικευμένοι πάροχοι υπηρεσιών εμπιστοσύνης (QTSP) κατά την έννοια του eIDAS , συμπεριλαμβανομένης της χρήσης HSM πιστοποιημένων EN 419 221-5.

ANSSI (Γαλλία) και BSI (Γερμανία)

Το ANSSI εκδίδει ένα Γενικό Πλαίσιο Πιστοποίησης Ασφάλειας (GRS) και εκδίδει Πρότυπο και Ενισχυμένο πιστοποιητικά για τα κρυπτογραφικά προϊόντα.

Η HSM vs TPM vs KMS λογισμικό ποια λύση να επιλέξω;

Η σωστή επιλογή εξαρτάται από την αξία των κλειδιών που πρέπει να προστατευθούν, τους ρυθμιστικούς περιορισμούς και τον προϋπολογισμό.

ΔιάστασηHSMΔΕΠΕφαρμογές λογισμικού KMS
ΣκοπόςΠροστασία των κρυπτογραφικών κλειδιών επιχειρήσεων και υποδομών (QES, PKI, KMS).Σφραγίστε την εκκίνηση και αναγνωρίστε το μηχάνημα (BitLocker, πιστοποίηση TPM 2.0).Κεντρική λειτουργία του κύκλου ζωής των κλειδιών σε μνήμη/διάδρομο χωρίς υλική απομόνωση.
Κρυπτογραφική ροήΠολλές χιλιάδες υπογραφές RSA-2048 ανά δευτερόλεπτο (υψηλότερες τεχνολογίες: 25 000+ sig/s).Μερικές υπογραφές ανά δευτερόλεπτο προσανατολισμένες σε τοπικές χρήσεις.Περιορίζεται από τον ξενιστή CPU (συχνά < 1000 sig/s για RSA-2048).
Ειδικές απαιτήσειςΤο σύστημα αυτό δεν μπορεί να χρησιμοποιηθεί για την παραγωγή προϊόντων που δεν είναι συμβατά με την παρούσα οδηγία.Η κοινή κριτήρια EAL4+ για το TPM 2.0 (Microsoft Pluto, Google Titan).Χωρίς υλικό πιστοποιητικό. ISO 27001 του προμηθευτή, το καλύτερο.
Υλική μορφήΚεφάλαιο 1U-2U, κάρτα PCIe, σκληροποιημένη μονάδα USB ή ειδική συσκευή δικτύωσης.Τσιπ που είναι ζυγισμένο στην μητρική πλακέτα (TPM 2.0) ή εικονικοποιημένο (vTPM).Δωρεάν (HashiCorp Vault, OpenStack Barbican) ή SaaS (AWS KMS χωρίς CloudHSM).
Τυπική περίπτωση χρήσηςΕιδική υπογραφή eIDAS, PKI root, συμμόρφωση PCI-DSS, άμυνας.Ασφαλής εκκίνηση, κρυπτογράφηση τοπικού δίσκου, πιστοποίηση Windows Hello.Εφαρμοστική κρυπτογράφηση, μυστικά DevOps, εσωτερικά μη κρίσιμα πιστοποιητικά.
Συνολικό κόστος ιδιοκτησίας€ 8 000 έως € 80 000 ανά συσκευή + συντήρηση + έλεγχος.Το κόστος περιθωρίου (δηλαδή στο 99% των επαγγελματικών υπολογιστών μετά το 2016).Δωρεάν σε ανοιχτό κώδικα· ~ 0,03 $/κλειδί/μήνα σε διαχειριζόμενο SaaS (AWS KMS, Azure Key Vault).

Επικαιρότερα ερωτήματα HSM

Ποια είναι η διαφορά μεταξύ ενός HSM και ενός TPM;
Ένα ΤΡΜ (Trusted Platform Module) είναι ένα τσιπ που συγκολλείται στην μητρική πλατφόρμα σχεδόν όλων των σύγχρονων επαγγελματικών υπολογιστών. Χρησιμοποιείται για να σφραγίζει την εκκίνηση, να κρυπτογραφεί τον δίσκο (BitLocker) και να αναγνωρίζει μια μηχανή με μοναδικό τρόπο. Ένα HSM (Hardware Security Module) είναι ένα αυτόνομο κουτί αφιερωμένο στη διαχείριση εταιρικών κρυπτογραφικών κλειδιών. Χρησιμοποιείται για την υπογραφή εγγράφων σε ειδικό επίπεδο eIDAS, για την υποδοχή της ρίζας μιας αρχής πιστοποίησης ή για την προστασία κλειδιών κρυπτογράφησης. Το TPM κοστίζει λίγα ευρώ ανά μηχανή. Ένα HSM κοστίζει αρκετές χιλιάδες έως δεκάδες χιλιάδες ευρώ, και έχει νόημα μόνο σε επίπεδο οργανισμού.
Είναι η κρυπτογράφηση HSM πραγματικά αδιαβρώσιμη;
Οι HSM που είναι πιστοποιημένες με FIPS 140-3 επίπεδο 3 ή Common Criteria EAL4+ είναι ανθεκτικές σε επιθέσεις με βοηθητικό κανάλι (αναλύσεις κατανάλωσης, ηλεκτρομαγνητικές εκπομπές), επιθέσεις με σφάλμα ένεσης (αταραχές τάσης ή θερμοκρασίας), και προκαλούν αυτόματη διαγραφή των κλειδιών σε περίπτωση φυσικού ανοίγματος του περιβλήματος (ανταποκρίσεις).
Πρέπει να αγοράσετε ένα HSM για να χρησιμοποιήσετε την ειδική ηλεκτρονική υπογραφή;
Όχι, εκτός αν είστε ο ίδιος πάροχος υπηρεσιών εμπιστοσύνης. Για να υπογράψετε σε QES, τα ιδιωτικά σας κλειδιά είναι αποθηκευμένα στο HSM ενός ειδικευμένου QTSP (Universign, Certinomis, LuxTrust, και των συνεργατών τους όπως Certyneo) που περιλαμβάνεται στην Ευρωπαϊκή Πιστοποιημένη Λίστα eIDAS. Δεν βλέπετε ποτέ το HSM απευθείας αλληλεπιδράτε με αυτό μέσω της ισχυρής ταυτοποίησης (φιχτή κάρτα ή Remote QES μέσω MFA + βιομετρική από το eIDAS 2.0).
Ποια είναι η διαφορά μεταξύ HSM και KMS;
Ένα HSM είναι το υλικό στοιχείο που εκτελεί φυσικά τις κρυπτογραφικές πράξεις σε αυτά τα κλειδιά. Τα δύο δεν είναι ανταγωνιστικά: ένα σοβαρό KMS βασίζεται σε ένα HSM στο παρασκήνιο (AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM). Ένα καθαρά λογισμικό KMS (χωρίς HSM) είναι αρκετό για εσωτερικές μη κρίσιμες χρήσεις, αλλά δεν καλύπτει τις ρυθμιστικές απαιτήσεις PCI-DSS, eIDAS QES ή HIPAA HSM.
Ποιοι είναι οι κύριοι κατασκευαστές HSM το 2026;
Η αγορά HSM κυριαρχείται από πέντε κατασκευαστές: Thales (ομάδες Luna και payShield, ιστορικός ηγέτης), Utimaco (CryptoServer, προμηθευτής πολλών ευρωπαϊκών QTSP), Atos Eviden (Trustway Proteccio, ενισχυμένη πιστοποίηση ANSSI), Marvell LiquidSecurity (υγενής HSM cloud για AWS και Azure) και Entrust nShield. Οι υπερβαθμιστές προσφέρουν τις δικές τους κοινές προσφορές: AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM. Για την καταρτισμένη υπογραφή eIDAS, το κρίσιμο κριτήριο είναι η πιστοποίηση Common Criteria EAL4+ με το Προστατευτικό Προφίλ EN 419 221-5.
Μπορούμε να νοικιάσουμε ένα HSM από το σύννεφο αντί να το αγοράσουμε;
Ναι. Τα AWS CloudHSM, Azure Dedicated HSM και Google Cloud HSM μισθώνονται από ειδικά HSM που είναι πιστοποιημένα FIPS 140-2 επίπεδο 3 (συνήθως μεταξύ 1 και 3 €/ώρα). Για την ειδική υπογραφή eIDAS, αυτές οι προσφορές δεν αρκούν από μόνες τους χρειάζεται ένα ειδικό QTSP που λειτουργεί το δικό του HSM και βρίσκεται στην Ευρωπαϊκή Πιστευτική Λίστα. Το πλεονέκτημα του HSM cloud είναι η ευελιξία (χωρίς CAPEX, χωρίς φυσική συντήρηση), με την τιμή της εξάρτησης από έναν συχνά αμερικανικό υπερ-εκκλιμακωτή (ευαίσθητο θέμα από την άποψη του νόμου Cloud και της ευρωπαϊκής ψηφιακής κυριαρχίας).
Πώς να ελέγξετε ότι ένας πάροχος υπογραφής χρησιμοποιεί πραγματικά πιστοποιημένο HSM;
Ο πάροχος πρέπει να είναι εγγεγραμμένος στην Ευρωπαϊκή Πιστοποιημένη Λίστα eIDAS (https://eidas.ec.europa.eu/) ως QTSP (Qualified Trust Service Provider). Η εγγραφή αυτή χορηγείται μόνο μετά από έλεγχο από έναν αναγνωρισμένο οργανισμό (στη Γαλλία LSTI/COFRAC, στη Γερμανία TÜV) ο οποίος ελέγχει μεταξύ άλλων τη συμμόρφωση του HSM που χρησιμοποιείται με τα πρότυπα EN 419 221-5 και EN 419 241-2 (Remote QES από το eIDAS 2.0).

Για να πάμε πιο πέρα

Προτεινόμενα άρθρα

white printer papers

Ασφάλεια των υπογεγραμμένων εγγράφων σας με κρυπτογράφηση TLS

Η κρυπτογράφηση TLS έχει γίνει απαραίτητη για την προστασία των ηλεκτρονικά υπογεγραμμένων εγγράφων σας. Ανακαλύψτε τις καλύτερες πρακτικές για την ασφάλεια των ροών εγγράφων σας σύμφωνα με το eIDAS.

9 min
text

Κρυπτογράφηση End-to-End: Σημασία και Ασφάλεια

Η κρυπτογράφηση end-to-end είναι ο τεχνολογικός πυλώνας της εμπιστευτικότητας των ηλεκτρονικά υπογεγραμμένων εγγράφων. Η κατανόηση της λειτουργίας του σημαίνει να κατανοήσετε την ασφάλεια των συμβατικών σας ανταλλαγών.

8 min

HSM vs TPM: ποια είναι η διαφορά και ποιο να επιλέξετε;

Το HSM και το TPM είναι δύο τεχνολογίες ασφάλειας υλικού που συχνά συγχέονται, αλλά έχουν πολύ διαφορετικούς ρόλους. Ανακαλύψτε πώς να επιλέξετε το σωστό μοντέλο ανάλογα με τις ανάγκες σας.

8 min

Κρυπτογραφία HSM: λειτουργία και ιδιωτικά κλειδιά (2026)

Η κρυπτογραφία HSM είναι το αόρατο θεμέλιο κάθε προσόντος ηλεκτρονικής υπογραφής. Η κατανόηση της λειτουργίας της σημαίνει κατακτήσει την κρυπτογραφική ασφάλεια της εταιρείας σας.

9 min

Χρειάζεσαι μια υπογραφή με υποστήριξη του HSM;

Το Certyneo βασίζεται σε HSM που είναι πιστοποιημένα με τα Common Criteria EAL4+ και λειτουργούν από ειδικό QTSP που περιλαμβάνεται στον Ευρωπαϊκό Trusted List eIDAS.