HSM Enkriptazioa: funtzionamendua eta gako pribatuak (2026)

Transakzio digitalen seguritatea gutxitan ezagutzen den osagaiaren gainean dago: Hardware Security Module (HSM). Gailu material horrek gako kriptografikoak sortzen, gordetzen eta babestten ditu haiei kanpo ingurune softwarean nola sarrera ematerik gabe. ENISA Threat Landscape 2025 txostena arobaken arabera PKI infrastrukturei zuzendutako cyber-erasoen erasoak 2023 eta 2025 artean %43 igo badira, HSM enkriptazioaren funtzionamendua ulertzea estrategikoa bihurtu da firma elektroniko kalifikadoak, transakzio bankarioak edo datu sentikorren trukaketa kudeatzen duten enpresen guztientzako. Artikulu honetan HSM-aren arkitektura, gako pribatuen bizitza zikloa, inplementatutako protokolo kriptografikoak, eta sailkapena deszifratu egiten da B2B antolaketekin erabaki.

HSM-aren material arkitektura: kriptografiko geltoki segura

HSM, definizioz, gailu fisikoa da haustezina (tamper-resistant). Software-soluzioa ez bezala, barne-erasoaren detekzio mekanismoak integratzen ditu, haiek automatikoki gakoen ezabapena erabakitzen dute erasoaren saiakera fisikoen detekzion denboran (mekanismoa zeroization deitzen da).

Barne osagaiak eta seguritate isolamendua

HSM-aren barne arkitektura osagarria hainbat geruza ditu:

• Dedikaturiko kriptografiko prozesadorea: enkriptazio eragiketak exekutatzen ditu (RSA, ECDSA, AES, SHA-256) sistema ostalari isolatua diren.
• Ausazko zenbakien sortze materiala (TRNG): benetako entropía sortzen du, sortutako gakoen sendotasunari bezalakoak - TRNG materialak PRNG software-ak gainditzen dute aurreikustasun puntuetan.
• Memoria segura non-volatile: nagusien gakoak gordetzen ditu fisikoki babesturiko eremuan, kanpotik sartzeko ezina nahiz gutizketa kasuan.
• Haustezina kaina (tamper-evident enclosure): irekitze saiakera batek alarma erabakitzen du eta sekretuak ezabatzen ditu.

HSM-ak sertifikatu egiten dira FIPS 140-2/140-3 arauetan (2 eta 4 mailak) NIST amerikarraren argitalpena, eta Common Criteria EAL 4+ europako erabilera neurtzaileenetarako. FIPS 140-3 3. mailako HSM batek, adibidez, autentifikazio multifaktore duten gakoen sarrerara eta fisikoko erasoak aktiboei aurka egiten du.

Despleguaren moduak: on-premise, PCIe eta cloud HSM

Hiru forma fisiko elkartzen dira merkatu B2B-an:

1. HSM sarea (appliance): sarean konekturiko armarioxea, aplikazio zerbitzari batzuen artean partekatua. Tipikoki konfiantza-zerbitzuen hornitzaileek (PSCo/TSP) eIDAS-en arabera sertifikatuak erabiltzen dute.
2. PCIe HSM kaxoia: modulo zerbitzari batean zuzenbidean integratua, sinadura bolumena handian aplikazioetan latentzia hoberentzat.
3. Cloud HSM: mantenituriko zerbitzu hornitzaile-hodeietan proposatua (Azure Dedicated HSM, AWS CloudHSM, Google Cloud HSM). Materiala fisikoki bezeroarentzat dedikaturik dago baina hornitzailearen datazentro batean ostataldia dute - garrantzitsua enpresentzat material kudeaketa kanpoan utzi baina bere gakoen kontrol esklusiboak mantendu nahi dutela.

Horien artean hautaketa lanean modua zuzenean eIDAS 2.0 arauen gutxieneko erregela lortzearen berdina ditu, bereziki firma kalifikatuetan (QES) gailu sinadura kalifikatu dedikatu (QSCD) behar duten - HSM sertifikatu QSCD pare dotore da.

Gako pribatuen bizitza zikloa HSM-an

HSM-aren benetako balioa bere ahalmena gako kriptografikoen integralaren bizitza zikloa kudeatze gakoz eta gako pribatua ez delako inoiz HSM-aren material muina "kanporatzen" bere gidaari kanpoan.

Gakoen sorrera eta injekzioa

Gakoen sorrera HSM-aren barruan oinarrizkotzat hartzen da. Kanpoan sortutako eta geroago inportatutako gako batek bere garraioan kontrolatu gabeko ingurune batean lotutako hondarra arriskua du. Praktika hobeak, beraz, onartzen dute:

• Gako bikotea (publikoa/pribatua) sorrera zuzenean HSM-an TRNG integratua bidez.
• Gako pribatua HSM-aren material muina utzi gabe - neurri baten administratzaileek ez dute bere zuzenean sartzen dute.
• Gako publikoa, bakarrik, inportatu egiten da Autoritate Ziurtagiriaren (CA) argitaratutako X.509 ziurtagirian integratzeko.

Hainbat protokolo PKCS#11 (OASIS arauaren standarda) edo JCE (Java Cryptography Extension) bezala aplikazio negotzioek HSM-aren eragiketak kriptografikoak deitu ahal dute API estandarraren bidez, gakoak zuzenean manipulatze gabe.

Eragiketak kriptografikoak: sinadura, dekripzioa, deribazentzia

Erabiltzaile batek agiri bat sinatzen bada, hemen duzu zehatza teknikaren flujo:

1. Aplikazioak kalkulatzen du zenbakien atzipena (hash) dokumentuaren hashing funtzioak erabiliz (SHA-256 edo SHA-384).
2. Hash-a HSM-ari bidaltzen zaio PKCS#11 edo CNG (Cryptography Next Generation Windows-en) interfazea bidez.
3. HSM-a sinatzen du hash-a barne RSA-2048 edo ECDSA P-256 gako pribatua erabiliz, konfigurazio arabera.
4. Digital sinadura itzultzen zaio aplikazioari - inoiz ez gakoa bera.

Honek kaja beltzaren eragiketaren printzipioak bermatzen du baita ere serbalari aplikazioaren nahiz gaizko konprometitze osoena arrazoi bera ez daike gako pribatua atera.

Babesketa, biraketa eta gakoen suntsiketa

Gako baten bizitza ziklo osoa hartzen du:

• Enkriptatutako babesketa: gakoak enkriptatutako formatan atera daitezke (Wrapped Key) gakoen enkripzioa gakoa erabiliz (KEK), bera beregain beste HSM maisuagan gordetza - Key Ceremony-ren printzipioak CA-k dokumentaturik.
• Periodikoa biraketa: gomendaturik 1-3 urtero arabera ziurtagiri buhaltza eta arriskua balioa. eIDAS 2.0 arauen eta ETSI TS 119 431 politikak horien iraupena TSP-entzat.
• Hondaketa eta suntsiketa: bizitza bukaeratz, gakoa zeroization bidez suntsitzen da - eragiketea irrebertsible eta ezartzailea ez atera konstruktiboen, bat ere pixka bat.

Antolaketekin nahi dute ulertzea nola firma elektroniko kalifikatuak mekanismo hauetan oinarrituta, HSM konfessua QSCD-ak guti eragina.

Protokolo kriptografikoak eta HSM-ak onartutako arauak

Enpresen HSM modernoa kriptografia primitiba hedaturiaren katalogoa eta protokoloak onartzen ditu.

Algoritmo asimetrikoak eta simetrikoak

| Familioa | Algoritmo arruntak | Erabilpen tipikoa | |---|---|---| | Asimetrikoa | RSA-2048/4096, ECDSA P-256/P-384, Ed25519 | Digital sinadura, gakoaren truke | | Simetrikoa | AES-128/256-GCM, 3DES (legacy) | Daten enkriptazioa, gakoen biltzea | | Hash | SHA-256, SHA-384, SHA-512 | Osotasun, dokumentua atzipenak | | Post-quantum (PQC) | CRYSTALS-Kyber, CRYSTALS-Dilithium (NIST FIPS 203/204) | Kriptografia aldatzea 2026+ |

Post-quantum algoritmen (PQC) integrazioa ardo puntu nabarikoa da: NIST-ak 2024an finalizatu zituen lehenengo PQC arauak (FIPS 203, 204, 205), eta HSM hornitzaile batzuk (Thales, nCipher/Entrust, Utimaco) 2026an dagoeneko firmware-ak dituzte PQC algoritmo hauen sustapena hibrido modoan RSA+Kyber.

Interfazeak eta integrazioaren protokoloak

HSM-aren integrazio ekosistemak estandar irekiak batzuen gainean oinarritzen da:

• PKCS#11: gehien zabalpenaren C API interfazea, OpenSSL, EJBCA, eta gehiengo aplikazio zerbitzarian onartua.
• Microsoft CNG/KSP: Windows Server / Active Directory Certificate Services ekosistemaren barruan natibozko integrazioa.
• KMIP (Key Management Interoperability Protocol): OASIS standarda heterogeneoa HSM-en artean gakoen kudeaketa zentral - bereziki erabilgarria multi-cloud arkitekturaz.
• REST API proprietek: cloud HSM modernoak REST API-ak agerian ipintzen dituzte DevOps-eko integrazioaren fluidatasunagatik (Infrastructure as Code, Terraform hornitzaileak).

Interfaze hauen kudeaketa indispensable da HSM bat enpresentzako firma elektronikoan plataformaren sinadura bolumena handian integratzeagatik.

HSM hautaketa irizpideak enpresentzat 2026an B2B

Merkatu erreferta dibertsifikatuaren aurean, hainbat irizpide objektibo bideratu behar dute erosketako edo HSM-as-a-Service hartzidetzea.

Sertifikazio maila eta araubideko egokitasuna

Firma elektroniko kalifikatuaren (eIDAS) esparruan erabiltzea edo PSD2/DSP2 prozesua bankarioa sotsiaturik:

• FIPS 140-3 3. maila gutxienez datu pribatu edo finantzarako sentikorrentzat.
• Common Criteria EAL 4+ sertifikazioa EN 419221-5 babesa eIDAS QSCD-entzat - europako konfiantza listearen (ETSI TS 119 612 Trusted Lists) erreferentzia standarda.
• ANSSI kalifikazioa frantseseltzat antolakete araubide sektorial zehatz (defentsa, bital garrantzia operadoreak) batean.

Eraginkortasun, balta eskuragarritasun eta TCO

Goi mailako HSM sareen (Thales Luna Network HSM 7, Entrust nShield Connect XC) erakusten dituzte RSA-2048 eragiketa milakaen arteko eraginkortasuna segundoan, aktibo-aktibo konfigurazioen balta garrantziak. TCO 5 urteetan HSM on-premise batek biltzen du: materiala, mantentsa, kalifikaturiko pertsonak, eta Key Ceremonies kudeaketa - elemak hartu egiten dituzte Cloud HSM erakargarri PME eta ETI-entzat.

Antolaketekin dute ebaluatu nahi beren firma infrastrukturaren inbertsio itzulkeraren globala, honek erabili ahal dute firma elektronikoan dedikaturiko ROI kalkuladorea HSM-aren seguritzeak lotutako eragiketaren irabaziak zehatza.

Gakoen gobernantza eta sarrera kontrola

HSM ez bera baizik honetan bere gobernantza kalitatearen araberan:

• M-of-N printzipioa: eragiketeta sentikor (gako maisuaren sorrera, inicializazioa) M administratzailearen presentzia bimotasun dute N designaturik - tipikoki 3 5-tik.
• Audit egunkariak ezabatzezineko: eragiketa kriptografikoa horodaturiko eta sinaduradun loguetan trazeaturik, RGPD esigintza (art. 5.2, erantzukizuna) eta ETSI referentzia-arauetan.
• Eginkizunen bereizketa: HSM administratzailea, gakoen eragileak, eta auditorezia rollak diren distantzia - ETSI EN 319 401 sertifikazio politeiken esigintzen arabera.

eIDAS 2.0 arauen ulertzea nahikoa kalibratzeko gakoen gobernantza kontextu kalifikatua.

HSM-are enkriptazioari aplikagarria den legeria markoa enpresatan

HSM-aren despleguak kriptografiko gakoen kudeaketa firma elektroniko-arentzat, datu pribatuen babesa eta cyber-seguritatea legalaren corpus betea da, legeria marko enkapsulatua.

eIDAS n° 910/2014 eta eIDAS 2.0 berrikusia

eIDAS arauen firma elektroniko kalifikatuaren (QES) baldintzak teknikoak eta legialak ezartzen ditu. Bere 29. artikuluak esigintzen dute firma kalifikatuaren gailu sortzearen (QSCD) gako pribatu sekretuakziurtatzen dute, beren batasun, eta deribatzea haren ezinezko da. Esigintza teknikak EN 419221-5 babesa edo berdina HSM sertifikaturaz bakarrik lor daitezke. eIDAS 2.0 berrikusia (UE 2024/1183 Arauen, maiaz 2024an badagoa) osatzen dituzte honen obligazioak eurpea identitate digitalaren zorroa (EUDIW) aurkezpena, hark osoa ere bihurtzen da QSCD betegarri gainean.

ETSI arauak aplikagarriak

ETSI arau familiak zehaztzen dituzte konfiantza zerbitzuen hornitzaileek (TSP) praktikak:

• ETSI EN 319 401: TSP-entzat seguritate esigintza orokorrak, HSM kudeaketa eta rolaren banaketa.
• ETSI EN 319 411-1/2: sertifikazioa politika eta praktikak kalifikaturiko ziurtagirietatik behar duten CA-entzat.
• ETSI EN 319 132: XAdES profileta firma elektroniko aurpegi zabalera - sinadura eragiketak HSM-ak deitzen dituzte.
• ETSI TS 119 431-1: urrutiko firma zerbitzuen esigintza berezia (Remote Signing), non HSM-a TSP-ak operazioaren signatariaren bidez.

Frantses Zibileko Kodea (1366-1367 artikuluak)

1366 artikuluak identifikatu ahalean dagoen idazkia elektronikoa legalaren balioa aitortu egiten du eta bere osotasun bermea. 1367 artikuluak firma elektroniko kalifikatuak firma eskuzkoaren araberan asimilatzen ditu. Gako pribatuen HSM bidez babesketa hau da zere inputabilidade presuntzioaren mekanismo teknika bihurtzen du irreberbertsiblak auzaketan aurka.

RGPD n° 2016/679

HSM-a gakoak pertsona fisikoen identitatean garraiaturik (nominatiboak ziurtagiriak, identifikazio daten logoei sareak) tratera duelako, RGPD osoa aplikatzen da. 25. artikuluak (pribatutasun deserakian) behartu egiten du datu protekzioa desainean integratzeagatik - HSM honetan erantzuten du bihurtzen teknikoki gako pribatuen sartzeagatik bera ostalari ingurune operazionalaren kanpotik ezinezkoa. 32. artikuluak neurtzaileak neurtzaile teknikoak onartzen dituzte: HSM eratu egiten du kriptografia babesketa altuena.

NIS2 Direktiba (UE 2022/2555)

Frantseseltzat direiaketa 2025ko aprilaren 15ean legean transposizioa, NIS2 direktibak esigintzen dituzte operazio esentialak eta garrantzia (OES/OEI) beren arriskuaren kudeaketa neurriak inplementatzeagatik, haiek kriptografia kateak babesketa eginkizunak zuzenbidean. HSM sertifikatuen errekurtsogarria firma eta enkriptazioa gakoen seguritzearentzat oharrean dagoa, bereziki sektore sanitarioa, finantzaroa, energiara eta infrastruktura digitala biltza.

Erantzukizunak eta legeria arriskuak

Gako pribatuen hondaketa HSM-aren ezak edo ezarpen nahik-gabeak hartzen baituen zibil eta penalaren erantzukizuna barneago kudeatzailea, CNIL sank-ak (WW biltzean %4 artean) enplazatu, eta firma erratzean zigina egon direla inbalidu egin ahalean. HSM eragiketaren egunkaritzea gabe izatea, bestela, ENI arau eta RGPD ez-egokitasun nabaria da.

Erabilera antzegiak: HSM ekintzak enpresan B2B

Antzegian 1 — Enprearen kalifikaturiko firma plataforma multi-guneaen industriaren taldearen

Europar industrialaren taldeek 15 filialak eta gutxi gorabehera 4 000 kontratuan hartzen diren eta urtean, ditzakete duen firma elektroniko kalifikatuaren kateto zentraliza. Seguritatea taldeak despleguak bi HSM sarea konfigurazioan goi eskuragarritasuna aktibo-aktibo bi datazentro desberdinean (estrategia elastikotasun geografiko). Gako sinadura kalifikatua entityu juridikoen bakoitzak harako eta biltzen gaki eksklusiboak HSM-an, sarrera ahal dute PKCS#11 interfazea bidez firma SaaS plataformaren.

Emaitzak behatutako 12 hilabetera: seguritate inolako ondorio gerraera lotua gakoen kudeaketa, osoa gutxieneko eIDAS arabera ebaluazio organismo baten (CAB) egindako auditan, eta sinadura kontraktua batean %67aren murrizketa (8,3 asteetan batez bestean 2,8 astetara). HSM despleguaren kostua osoa amortizaturik zen 14 hilabetean produktibitate irabazien eta gaineraketaren suntsitsita prozesuaren babesparen arabera.

Antzegian 2 — Juridikoen abokatuaren eta legeria klientearen mandatuaren sinadura kudeaketa

Abokatuaren 45 langile dituen mergerako eta merkaturako litigazioaren kabinetea, fusio-akisizioen eta merkaturako arauari nahi dutelako, bilatzen dute beren sinadura fluxuak mandatuak, giden letra eta juzgasuak entsegurutzea. HSM on-premise erabiltzeak (IT taldetik arerako gabea) aurka, kabinetetak haratago egiten du Cloud HSM zerbitzua integratua kabinete juridikoen firma elektronikoan.

Asoziatu bakoitzak duten ziurtagiri kalifikatua zein gako pribatua gordetzen dira HSM dedikatu prestazioan, FIPS 140-3 3. maila sertifikatua eta europako konfiantza listan erreferentziatua. Kabinetetak eskura dute eragiketa osoa trazeabilitate (horodaturiko egunkariak, exportagarriak merkaturako erakusketaren beharra kasuan), neurri baten material infrastrukturan ez kudeaketa. Araubide administratiboen denboraldiaren murrizketa lotua dokumentu kudeaketan estimatu behar dira 3,5 ordu koordidantza urtean eta astean araubide sailkapeneko kabinetekin berdinez neurtutako.

Antzegian 3 — Osaketen babesketa eta osasun enplazuaren e-prescripzioaren babesketa

Osasun talde batean 1 200 ohe elektrikoa e-prescription segura egokitzea nahi duten ANS-en (Numérique Agentzian Santé) esigintzen eta Mon Espace Santé markoaren arabera. Prescripzioak sinatua izan behar dutel osasun profesioan ziurtagiriekin (CPS) zein gako pribatua ez aurka jasan praktikarien lan txokoen entzat.

DSI-ak despleguak HSM sertifikatu Common Criteria EAL 4+ integratua bere identitateak kudeaketa infrastrukturan (IGC barnea). CPS gakoak medikuen barruan gordetzen dira HSM; praktikaiduna autentifikatu Hark kaxa + PIN bidez erabakia egiteko sinadura delegaturiko eragiketa HSM-a. Mekanismo hau, eIDAS arauen eta ETSI arauak betegarri, murrizten du %89aren gako lapurretaren arriskua txoko softwarearen bilaketaren kontrastean, eta bideratutako baldintza osoaren ahotan 5 minututan departure edo kaxa galtzean.

Ondorioa

HSM enkriptazioa kalifikatuaren firma elektroniko infrastrukturaren harria baikorra eta kudeaketa segura du gako pribatu enpresatan. Material isolamendua konbinantzen, algoritmo kriptografikoak probaktuak, gakoen gobernantza gogorra eta FIPS 140-3, Common Criteria eta ETSI arauen gutxienean, HSM-ak protekzio bihurtzen dute aurka unean arriskuak eta europar legal esigintza orokortzea. Despleguaren aukeraketa on-premise, PCIe kaxi edo Cloud HSM kudeaturiaren artean, galantzko da zure aukeraketa alineatu zure arriskua enplazea eta zure eIDAS legal obligazioak, RGPD eta NIS2.

Certyneo natiboaren HSM sertifikaturik bere firma elektroniko kalifikatuaren infrastrukturan integratzen du, emaitza duzu segerikoa maila enpresan araubide operazionalaren gabe konplexutzea. Prest zure dokumentu fluxuak HSM-ean seguritzea konforma eta ziurtagiri soluzioarekin? Librerik hasia Certyneo-tan edo gure prezio kontsultatu zure antolaketera egokia dagoen oferta bilatze.