
Zure sinatutako dokumentuak TLS zifraketak babestea
TLS zifraketa aurreztezina bihurtu da elektronikoki sinatutako dokumentuak babesteko. Aurkitu zure dokumentazio-fluxuak eIDAS bateragarritasunean aseguratzearen praktika onena.
HSM (Hardware Security Module, euskaraz segurtasun modulua hardwarea) gailu elektroniko haustezina da, zifratze-gakoak sortzen, gordetzen eta erabiltzen dituena, inoiz ere kanpo blokean argi agerian jarri gabe. Kriptografia osoa gauzatzeko behar den osagaia da, eIDAS arauan entzutandako sinadura elektroniko kalifikatua (QES) egiten duena, gako publikoko zifratze-sistema (PKI) ahalbidetzen duena, ziurtagiri-agintza (CA) baten konfiantza-erroa ahalbidetzen duena, eta oro har, inviolabilitate fisiko eta logikoa bermatzea eskatzen duten edozein eragiketa kriptografikoa. Gida honek azaltzen du zehatzean zer den HSM bat, zer-tarako balio duen, nola ziurtatzen den (FIPS 140-2, FIPS 140-3, Common Criteria EAL4+), eta TPM edo KMS software hutsa nola desberdintzen diren.
HSM bat hardwarearen kaxa bat da (1U rack, PCIe txartel, USB giltza edo sare-gailu bat) zifratze eragiketak exekutatzen dituena (gakoak sortaraztea, sinatzea, zifratzea, desifratzea, hash-eztea) mugatutako enklave fisiko batean. Gako pribatua inoiz ez du utzi HSMa: ateratzearen edozein saiakera hautsa-erantzunaren bitartez zuzenean ezabatzen da. Kaxa dago diseinu egina kanalaurreko erasoei aurre egiteko (kontsumoa-analisa elektrikoa, emanazio elektromagnetikoak, tentsioa-trubada), bit-buelta erasoei (fault injection) eta mikroskopio elektronikoa bidez behatzaile-erasoei.
Zehatzean, dokumentua sinatu nahi duen aplikazio batek HSMari bidaltzea datza dokumentuaren laburpena (SHA-256 hash) API estandarizatu baten bidez (PKCS#11, KMIP, CNG, JCE). HSMak hatera signatzen du hash bat gako pribatu batez, gako hori eksklusiboki bere enklavean bada, ondoren sinadura itzultzen ditu. Sinadura duen dokumentuak sinadura eta horri dagokion ziurtagiri publikoa biltzen ditu — baina gako pribatua ezabatzaile babestuta mantentzen da. Hau da eIDAS kalifikatutako sinadura (QES, HSMari atxikia kalifikatutako prestatari aldetik) desberdintzen duen gauza sinadura sinpleak (SES, hardware motarik gabea) edota aurreratua (AES, sinatariaren kontrola duen gakoaz).
HSMa ez da erabilpen masiboko gauza arrunta: beharrezkoa da araubide, arau edota kontratua gako baten inviolabilitate materialaren bermatzea eskatzen duena.
eIDAS europar araudi (UE 910/2014) behartzazko sinadura kalifikatua gailu ziurtagiri-sortzaile kalifikatuak (QSCD) sortzerik sortu beharko dute ziurtatua — praktika, EN 419 221-5 ziurtatutako HSM bat edo Common Criteria EAL4+. Kalifikatutako konfiantza-zerbitzuen prestatariaren (QTSP) HSMa da hau, sinatariaren gako pribatua hartzen duena eta sinadura exekutatzen duena.
HSMak gainditu gakoak (Key Encryption Keys, KEK) kudeatu behar dituzte, zeinek zifratzen dituzte datu-baseen zifratze-gakoak, diskoak (BitLocker, LUKS) edo babesen-gaiak. Tipiko kasu: PCI-DSS bete egitea ordainketaren prozesadorerako, HIPAA / HDS osasun-datuentzat, defenditze-sekretua administrazioetarako.
Edozein ziurtagiri-agintza (CA) erro, bitartekoa edo jaso-emaila HSM bat erabili behar du bere ziurtagiri X.509 signatzen duen gakoa sortu eta erabiltzeko. CA publiko baten erro-gakoa (Let's Encrypt, DigiCert, Sectigo) edo enpresakoaren pribatuak (Active Directory CS, ADFS) ziurtatutako HSM batean bizi behar da.
Hodeiko plataformak (AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM) dago HSM mutualizatuak edo dedikatu ahal dituzte gakoen ziklo osoa kudeatzeko: sortaraztea, biraketa, deribatzea, artxibatzea, suntsitzea. Gainkera puro softwarearen KMS baten aurrean: inviolabilitate-froga erregulatzaile eta auditoreen aurka aukeztezina.
Azpiegituru kritikoen TLS ziurtagiriak (banku-ateak, softwareko kodera sinatzea, root CA IoT fabrikatzaileentzat) HSM batek babestuak daude. HSMak kanpoko ziurtagiriak sinatzen ditu gako-erra inoiz argitaratu gabe — zerbitzari-ostalaria guztiz oker egiten duten batasunetik ere.
Ziurtagiri guztiek ez dute balio bera. Ziurtagiri-maila zehazten du zein araudia duten HSMaren erabilera irekia (eIDAS QSCD, PCI-DSS HSM, defenditze-sekretua kontratua).
FIPS 140-2 (2001ean argitaratua, 2026an aktiboa den katalogotik bota) eta honen jarraitzaile FIPS 140-3 (2019an baliozko, 2024tik aurrera produktu berrientzat derrigorrezkoa) 4 segurtasun-maila zehazten dituzte. 3. maila (enklabea irekitzen denean gakoak ezabatua) minimoa da banku eta publiko PKIrentzat; 4. maila (kanalaurreko erasoei erresistentzia eta ingurumen-aldaketetara) defenditze-sekretua zenbait erabili-kasurentzat beharrezkoa da.
Common Criteria produktu IT baten segurtasunaren ebaluazioaren nazioarte estandara da. HSMak, Common Criteria EAL4+ maila EN 419 221-5 Protection Profile-arekin kalifikatutako gailu ziurtagiri-sortzaile (QSCD) kopiatzaileak eskatzen dituzte eIDAS araudi bidez. Hau da europako kalifikatutako konfiantza-zerbitzuen prestatariek (QTSP) erabiltzen duten araubidea.
ETSI araudi zehazten dituzte tekniko-esigintza kalifikatutako konfiantza-zerbitzuen prestatari (QTSP) eIDAS zentzuan jarraitu beharreko — HSM ziurtatuak EN 419 221-5 erabiltzen dituzten, barne. QTSP bat europar Trusted List (eIDAS TL) amaitzen da, akreditatua dago organismo batek horietan auditzen Europako (Frantzian: LSTI, COFRAC).
ANSSIk Segurtasun Oro-hartuko Erreferentziolak (RGS) argitaratzen ditu eta produktu kriptografikoen "Standard" eta "Indartuak" kalifikazioak ematen ditu. Alemaniar BSIk kalifikazioaren arau bera argitaratzen ditu (CSPN, BSI-TR). Nazioarteko administrazio publikoak bere araubide nazionalak eskatzen dituzte europako ziurtagirizko onartutzetan gainera.
Boni aukera dago gakoen balioa, araubide-mugak eta aurrekontua nola auker hartzen du. Sei dimentsioak daude erabakian gida dituena.
| Dimentsio | HSM, ez. | TPM bat da. | KMS softwarea |
|---|---|---|---|
| Helburua | Enpresakoaren eta azpiegituaren zifratze-gakoen babesa (QES, PKI, KMS). | Abiatzea sintzea eta makinak identifikatzea (BitLocker, TPM 2.0 ziurtagiria). Gako bat makinako. | Gakoen ziklo osoa memorian/diskoan zentraltzea, hardware isolaziorik gabe. |
| Kriptografia-emaria | RSA-2048 sinadura milaka bat segunduko (saro-eredu osoa: 25 000+ sig/s). | Sinadura talde segunduko — bai tokian tokian erabili-kasuentzat. | Ostalari CPU bidez mugatua (maiz < 1000 sig/s RSA-2048tik). |
| Araubide ziurtagiriak | FIPS 140-2/3, Common Criteria EAL4+, EN 419 221-5 (eIDAS QSCD). | Common Criteria EAL4+ TPM 2.0rentzat (Microsoft Pluton, Google Titan). Nahikoa ez eIDAS QESrentzat. | Hardware ziurtagiririk ez. Hornitzailearen ISO 27001 hobea. |
| Hardware itxura | 1U-2U rack kaxa, PCIe txartel, USB giltza sendo edo sare-gailu dedikatu. 8 000 € aurretiaz. | TPMa likidatu borlean (TPM 2.0) edo virtualizatua (vTPM). Euro gutxi makinako. | Doakoa (HashiCorp Vault, OpenStack Barbican) edo SaaS (AWS KMS CloudHSMrik gabe). |
| Tipiko erabili-kasua | eIDAS kalifikatutako sinadura, PKI-erra, PCI-DSS bete, defenditze-sekretua. | Abiatu segura, disk lokal zifratze, Windows Hello ziurtagiria. | Aplikatibo zifratze, DevOps sekretuak, barne-ziurtagiriak ez-kritikonak. |
| Herriak osoa kostearen posesioa | 8 000 € etik 80 000 € gailu-eko + mantentze + auditoria. Mutualizagarri hodeia bidez (€/ordu). | Kosteen gainkera (dagoenekoa 99% laneko PC post-2016etan). | Doakoa kode irekian; ~0,03 $/gakoa/hilabete SaaS kudeaturian (AWS KMS, Azure Key Vault). |

TLS zifraketa aurreztezina bihurtu da elektronikoki sinatutako dokumentuak babesteko. Aurkitu zure dokumentazio-fluxuak eIDAS bateragarritasunean aseguratzearen praktika onena.

Bukotik bukora chiffratzea elektronikoki sinatutako dokumentuen pribatutasunaren oinarri teknologikoa da. Bere funtzionamenduaren ulertzea zure kontratuen truke segurua kudeatzea esan nahi du.
HSM eta TPM bi segurtasun-teknologia materialak dira, askotan nahastuak baina rola oso desberdina dutenak. Ikusi nola aukeratu modulu egokia zure beharren arabera.
HSM enkriptazioa firma elektroniko kalifikatuaren oinarri ikusezina da. Bere funtzionamendua ulertzea zure enpresan kriptografia seguritatea menperatzea da.
Certyneoak apoya egiten du Common Criteria EAL4+ ziurtatutako HSMak QTSP kalifikatuak operazioa europar Trusted List eIDAS amaitzen dena. QES 9,90 €/ekintzaren Standard plantik aurrera.
Cookiak erabiltzen ditugu gure gunean zure esperientzia hobetzeko. Zerbitzuaren funtzionamenduak beharrezkoak diren cookiak beti aktiboak daude. Gehiago jakin