
Turvage oma allkirjastatud dokumente TLS-krüptimisega
TLS-krüptimine on muutunud hädavajalikuks teie elektroonselt allkirjastatud dokumentide kaitseks. Avastage parimad praktikad oma dokumentide töövoogude turvamiseks kooskõlas eIDAS-iga.
HSM (Hardware Security Module, eesti keeles riistvara turvalisuse moodul) on ründekindel elektrooniline seade, mis genereerib, salvestab ja kasutab krüptograafilisi võtmeid, ilma et kunagi neid väljaspool korpust paljastaks. See on riistvara komponent, mis võimaldab kvalifitseeritud elektroonilist allkirja (QES) eIDAS-määruse mõttes, avaliku võtmega krüpteerimist (PKI), sertifitseerimiskeskuse (CA) usaldusjuurt ning laiemalt igasugust krüptograafilist toimingut, mis nõuab füüsilise ja loogika ründekindluse garantiid. See juhend selgitab konkreetselt, mis on HSM, milleks see on ette nähtud, kuidas see on sertifitseeritud (FIPS 140-2, FIPS 140-3, Common Criteria EAL4+) ja mille poolest see erineb TPM-ist või puhtalt tarkvaralisest KMS-ist.
HSM on riistvara karp (1U rack, PCIe kaart, USB-võti või võrguseade), mis teostab krüptograafilisi toiminguid (võtmete genereerimine, allkirjastamine, krüptimine, dekrüptimine, rässimine) pitseeritud füüsilise inkubaatori sees. Privaatsed võtmed ei lahku kunagi HSM-ist: igasugune ekstraheerimise katse käivitab kohese kustutamise (tamper response). Karp on kujundatud, et taluda kõrvalinekanali rünnakuid (elektritarbimise analüüs, elektromagnetilised kiirgused, pingerakked), bitti-inversioonide rünnakuid (fault injection) ja elektronmikroskoopia vaatlust.
Konkreetselt saadab rakendus, mis soovib dokumenti allkirjastada, HSM-ile dokumenti kokkuvõtte (SHA-256 hash) standardiseeritud API kaudu (PKCS#11, KMIP, CNG, JCE). HSM allkirjastab rässi privaatse võtmega, mis asub ekslusiivselt selle inkubaatoris, seejärel tagastab allkirja. Allkirjastatud dokument sisaldab allkirja ja vastavat avalikku sertifikaati — kuid privaatne võti jääb ründekindlalt kaitstud. See eristab eIDAS-i kvalifitseeritud allkirja (QES, HSM-iga toetatud kvalifitseeritud teenuse pakkuja pool) lihtallkirjast (SES, ilma riistvarajõudlus piiranguta) või täiustatud allkirjast (AES, võti, mida kontrollib allkirjastaja).
HSM ei ole massiline tavarakendus: see on nõutav niipea, kui regulatsioon, standard või leping nõuab võtmete ründekindluse riistvaragarantiid.
Euroopa regulatsioon eIDAS (EU 910/2014) nõuab, et kvalifitseeritud allkiri tekitaks sertifitseeritud kvalifitseeritud allkirja loomise seade (QSCD) — praktikas EN 419 221-5 või Common Criteria EAL4+ sertifitseeritud HSM. See on kvalifitseeritud usaldusteenuste pakkuja (QTSP) HSM, mis majutab allkirjastaja privaatvõtit ja teostab allkirja.
HSM-id haldustavad peavõtmeid (võtme krüpteerimise võtmed, KEK), mis krüpteerivad andmebaaside, kettaste (BitLocker, LUKS) või varukoopiaid krüpteerivaid võtmeid. Tüüpiline juhtum: PCI-DSS nõuetele vastavus makseprotsessorite, HIPAA / HDS tervishoiuandmete, salajase kaitse administraatsioonide jaoks.
Iga sertifitseerimisasutus (CA) juur-, vahepeal- või väljastaja kasutab HSM-i sertifikaate allkirjastava võtme loomiseks ja kasutamiseks. CA juure privaatne võti avalikust asutusest (Let's Encrypt, DigiCert, Sectigo) või ettevõtte privaat-CA-st (Active Directory CS, ADFS) peab asuma sertifitseeritud HSM-is.
Pilveplatvormid (AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM) pakuvad jagatud või pühendatud HSM-e, et hallata võtmete täielikku elutsüklit: genereerimine, pööramine, tuletamine, arhiivimine, hävitamine. Eelis puhtalt tarkvaralisest KMS-ist: ründekindluse tõend, mida saab seadustajatele ja auditorile esitada.
Kriitilise infrastruktuuri TLS-sertifikaadid (pangaväravad, tarkvara allkirjastamine, IoT-valmistajate root CA) on kaitstud HSM-iga. HSM allkirjastab väljuvaid sertifikaate ilma kunagi juure privaatvõtit paljastamata — isegi täieliku peaarvuti kahjustamise korral.
Kõik sertifikaadid ei ole sama väärtuslikud. Sertifitseerimistasen määrab regulatsioonid, millele HSM-i kasutamine õiguse annab (eIDAS QSCD, PCI-DSS HSM, salajaselt kaitsitud lepingud).
FIPS 140-2 (avaldatud 2001, aktiivse kataloogi küljest eemaldatud 2026) ja selle järglane FIPS 140-3 (jõus 2019. aastast, uute toodete jaoks kohustuslik 2024. aastast) määratlevad 4 turvataseme. Tase 3 (võtmed kustutatakse, kui inkubaator avatakse) on miinimum pangandus- ja avaliku PKI-ga; tase 4 (vastupidavus kõrvalinikanalite rünnakutele ja keskkonna muutustele) on nõutav teatud salajasel kaitstud kasutamisel.
Common Criteria on IT-toodete turvalisuse hindamise rahvusvaheline standard. HSM-ide puhul nõuab eIDAS-regulatsioon Common Criteria EAL4+ taset koos EN 419 221-5 Protection Profile'iga kvalifitseeritud allkirja loomise seadmete (QSCD) jaoks. Seda kasutavad Euroopa kvalifitseeritud usaldusteenuste pakkujad (QTSP).
ETSI standardid määratlevad tehnilised nõuded, mida peab järgima eIDAS-i mõttes kvalifitseeritud usaldusteenuste pakkuja (QTSP) — kaasaarvatud EN 419 221-5 sertifitseeritud HSM-ide kasutamine. Euroopa Trusted List'i (eIDAS TL) fikseeritud QTSP on auditeeritud nende normide osas akkrediteeritud asutuse poolt (Prantsusmaal: LSTI, COFRAC).
ANSSI avaldab üldise turvalisuse raamistiku (RGS) ja annab "Standard" ja "Rõhutatud" kvalifikatsioone krüptograafilistele toodetele. BSI sakslane avaldab samaväärsed sertifikaadid (CSPN, BSI-TR). Rahvuslikud avaliku sektori administraatsioonid võivad nõuda neid rahvuslikke kvalifikatsioone lisaks Euroopa sertifikaatidele.
Õige valik sõltub kaitsitavate võtmete väärtusest, regulatsioonilisest piirangust ja eelarvestest. Siin on kuus mõõdet, mis juhendavad otsust.
| Mõõde | HSM | PMS | Tarkvara KMS |
|---|---|---|---|
| Eesmärk | Ettevõtte ja infrastruktuuri krüptograafiliste võtmete kaitse (QES, PKI, KMS). | Käivitamine pitseerida ja masin tuvastada (BitLocker, TPM 2.0 atestatsiooni). Üks võti masina kohta. | Võtmete elutsükli keskseks muuta mälus/kettal ilma riistvara isolatsioonita. |
| Krüptograafiline läbilaskevõime | Mitusada tuhandeid RSA-2048 allkirju sekundis (tippmudelid: 25 000+ sig/s). | Mõni allkiri sekundis — suunatud lokaalsete punktuaalsete kasutuste poole. | Peaarvuti CPU poolt piiratud (sageli < 1000 sig/s RSA-2048 jaoks). |
| Regulatsioonilised sertifikaadid | FIPS 140-2/3, Common Criteria EAL4+, EN 419 221-5 (QSCD eIDAS). | Common Criteria EAL4+ TPM 2.0 jaoks (Microsoft Pluton, Google Titan). Ebapiisav QES eIDAS jaoks. | Riitvara sertifikatsiooni pole. ISO 27001 tarnija poolt parim juhul. |
| Materiaalne vorm | 1U-2U rack, PCIe kaart, tugevdatud USB-võti või pühendatud võrguseade. Alates 8 000 eurost. | Kiip, mis on emaplaat (TPM 2.0) või virtualiseeritud (vTPM). Mõned eurod masina kohta. | Tasuta (HashiCorp Vault, OpenStack Barbican) või SaaS (AWS KMS ilma CloudHSM-ita). |
| Tüüpiline kasutusjuht | eIDAS kvalifitseeritud allkiri, PKI juur, PCI-DSS nõuetele vastavus, salajane kaitse. | Turvaliline käivitamine, kohaliku ketta krüptimine, Windows Hello atestatsiooni. | Rakenduse krüptimine, DevOps saladused, mittekriitilised sisepaigutatud sertifikaadid. |
| Omandamise koguhind | 8 000 € kuni 80 000 € seadme kohta + hooldus + audit. Võib jagada pilveteenuse kaudu (€/tund). | Marginaalne kulu (juba 99% modernsete professionaalsete arvutite puhul post-2016). | Tasuta avatud lähtekoodiga; ~0,03 $/võti/kuu hallatud SaaS-is (AWS KMS, Azure Key Vault). |

TLS-krüptimine on muutunud hädavajalikuks teie elektroonselt allkirjastatud dokumentide kaitseks. Avastage parimad praktikad oma dokumentide töövoogude turvamiseks kooskõlas eIDAS-iga.

Krüpteering otsast otsani on allkirjastatud dokumentide konfidentsiaalsuse tehnoloogiline alus. Selle toimimise mõistmine tähendab teie lepinguliste vahetuste turvalisuse valdamist.
HSM ja TPM on kaks sageli aetud segamini olevat riistvaralise turvalisuse tehnoloogiat, kuid neil on väga erinevad rollid. Avastage, kuidas valida õige moodul oma vajadustele.
HSM krüptimine on iga kvalifitseeritud elektroonilise allkirja nähtamatu alus. Selle toimimise mõistmine tähendab teie ettevõtte krüptograafilise turvalisuse omandamist.
Certyneo tugineb Common Criteria EAL4+ sertifitseeritud HSM-idele, mida opereerib Euroopa Trusted List'i alusel figuureeriv kvalifitseeritud usaldusteenuste pakkuja. QES 9,90 €/tegu juba Standard plaani järgi.
Kasutame küpsiseid teie kogemuse parandamiseks meie saidil. Teenuse toimimiseks vajalikud kriitilised küpsised on alati aktiivsed. Lisateave