رفتن به محتوای اصلی
Certyneo

HSM در برابر TPM: تفاوت و انتخاب بهتر کدام است؟

HSM و TPM دو فناوری امنیت سخت‌افزاری هستند که اغلب با یکدیگر اشتباه گرفته می‌شوند، اما نقش‌های بسیار متفاوتی دارند. نحوه انتخاب ماژول مناسب بر اساس نیازهای خود را بیاموزید.

تیم Certyneo11 دقیقه مطالعه

تیم Certyneo

نویسنده — Certyneo · درباره Certyneo

مقدمه: دو ماژول، دو فلسفه امنیتی

در حوزه رمزنگاری کاربردی و حفاظت از کلیدهای دیجیتالی، دو فناوری به‌طور سیستماتیک در بحث‌های مدیران تکنولوژی و متخصصان امنیت اطلاعات مطرح می‌شوند: HSM (ماژول امنیت سخت‌افزاری) و TPM (ماژول پلتفرم مورد اعتماد). این دو دستگاه سخت‌افزاری یک هدف مشترک دارند — حفاظت از عملیات رمزنگاری حساس — اما معماری، موارد استفاده و سطح گواهینامه آنها بنیادی‌تر متفاوت است. اشتباه‌گیری این دو می‌تواند منجر به انتخاب‌های زیرساختاری نامناسب، حتی نقض الزامات انطباق نظارتی شود. این مقاله کلیدهای درک تفاوت HSM در برابر TPM، شناسایی زمان استفاده از هر یک و تصمیم‌گیری بهتر برای سازمان خود در سال 2026 را فراهم می‌کند.

---

HSM (ماژول امنیت سخت‌افزاری) چیست؟

یک ماژول امنیت سخت‌افزاری دستگاهی سخت‌افزاری اختصاصی است که به‌طور خاص برای ایجاد، ذخیره و مدیریت کلیدهای رمزنگاری در محیطی به‌لحاظ فیزیکی و منطقی ایمن طراحی شده است. این یک جزء خودمختار است — اغلب به‌شکل کارت PCIe، دستگاه شبکه یا سرویس ابری (HSM as a Service) — که تابع اصلی آن اجرای عملیات رمزنگاری با کارایی بالا بدون هرگز قرار دادن کلیدها در حالت واضح در خارج از ماژول است.

ویژگی‌های فنی HSM

HSM‌ها بر اساس استانداردهای بین‌المللی سختگیرانه گواهینامه‌دار هستند، به‌ویژه FIPS 140-2 / FIPS 140-3 (سطوح 2، 3 یا 4) منتشرشده توسط NIST آمریکایی، و Common Criteria EAL4+ براساس استاندارد ISO/IEC 15408. این گواهینامه‌ها مکانیزم‌های مقاومت در برابر دستکاری فیزیکی، آشکارسازهای نفوذ و نابودی خودکار کلیدها در صورت تلاش برای سازشکاری را شامل می‌شوند.

یک HSM معمولی موارد زیر را ارائه می‌دهد:

  • توانایی پردازش بالا: تا چند هزار عملیات RSA یا ECDSA در ثانیه
  • چند مستاجر: مدیریت صدها پارتیشن رمزنگاری مستقل
  • رابط‌های استاندارد: PKCS#11، Microsoft CNG، JCA/JCE، OpenSSL engine
  • پیگیری کامل: ثبت‌سازی تغییرناپذیر هر عملیات

موارد معمول استفاده HSM

HSM‌ها هسته امضای الکترونیکی واجد‌صلاحیت به معنای مقررات eIDAS هستند، جایی که کلید خصوصی امضا‌کننده باید در دستگاه ایجاد امضای واجد‌صلاحیت (QSCD) ایجاد و ذخیره شود. آنها همچنین مراجع‌گذاری گواهینامه (CA/PKI)، سیستم‌های پرداخت (HSM پروتکل PCI-DSS)، زیرساخت‌های رمزگذاری پایگاه داده و محیط‌های امضای کد را تجهیز می‌کنند.

امضای الکترونیکی واجد‌صلاحیت در شرکت تقریباً به‌طور سیستماتیک بر HSM‌های گواهینامه‌دار به‌عنوان QSCD تکیه می‌کند تا بیشترین ارزش حقوقی امضاها را تضمین کند.

---

TPM (ماژول پلتفرم مورد اعتماد) چیست؟

ماژول پلتفرم مورد اعتماد تراشه‌ای امنیتی است که مستقیماً بر روی مادربرد رایانه، سرور یا دستگاه متصل یکپارچه‌شده است. استاندارد‌شده توسط گروه محاسبات مورد اعتماد (TCG) که مشخصات TPM 2.0 آن نیز تحت ISO/IEC 11889:2015 نرمال‌شده است، TPM برای ایمن‌سازی خود پلتفرم طراحی شده است، نه خدمات رمزنگاری متمرکز و اشتراک‌پذیر.

معماری و عملکرد TPM

برخلاف HSM، TPM یک جزء تک‌مقصد است که به یک دستگاه سخت‌افزاری خاص مرتبط است. نمی‌تواند بین چند ماشین جابه‌جا یا به‌اشتراک‌گذاری شود. عملکردهای اصلی آن شامل موارد زیر است:

  • اندازه‌گیری یکپارچگی راه‌اندازی (Secure Boot، Measured Boot) از طریق Platform Configuration Registers (PCR)
  • ذخیره کلید مرتبط با پلتفرم: کلیدهای تولید‌شده توسط TPM فقط می‌توانند بر روی ماشینی که آنها را ایجاد کرده‌اند استفاده شوند
  • تولید عدد تصادفی رمزنگاری (RNG)
  • تعریف‌پذیری از راه دور: اثبات به سرور دور که پلتفرم در حالت اعتماد شناخته‌شده است
  • رمزگذاری حجم: BitLocker بر روی Windows، dm-crypt با TPM بر روی Linux مستقیماً بر TPM متکی‌اند

محدودیت‌های TPM برای استفاده‌های پیشرفته سازمانی

TPM 2.0 در بهترین حالت با FIPS 140-2 سطح 1 گواهینامه‌دار است، که بسیار کمتر از گواهینامه‌های FIPS 140-3 سطح 3 HSM‌های حرفه‌ای است. توانایی پردازش رمزنگاری آن محدود است (چند ده عملیات در ثانیه)، و رابط‌های PKCS#11 یا CNG را به‌طور بومی به‌اندازه یک HSM اختصاصی پشتیبانی نمی‌کند. برای امضای الکترونیکی پیشرفته یا واجد‌صلاحیت، TPM تنهایی عموماً از نظر الزامات eIDAS ضمیمه II بر روی QSCD‌ها ناکافی است.

---

تفاوت‌های بنیادی HSM در برابر TPM: جدول مقایسه

درک تفاوت HSM در برابر TPM Trusted Platform Module از طریق مقایسه ساختاری معیارهای تعیین‌کننده برای شرکت می‌گذرد.

سطح گواهینامه و اطمینان امنیتی

| معیار | HSM | TPM | |---|---|---| | گواهینامه FIPS | سطح 140-3 2 تا 4 | سطح 140-2 1 | | Common Criteria | EAL4+ تا EAL7 | EAL4 | | شایستگی QSCD eIDAS | بله (مثال: Thales Luna، Utimaco) | نه | | ضد دستکاری فیزیکی | پیشرفته (خود‌نابودی) | ابتدایی |

ظرفیت، مقیاس‌پذیری و یکپارچگی

HSM‌ها دستگاه‌های چند‌کاربر و چند‌برنامه هستند: یک دستگاه شبکه تنهایی می‌تواند به‌طور همزمان صدها مشتری، برنامه و خدمت را از طریق PKCS#11 یا REST API سرو کند. آنها در معماری دسترسی بالا (خوشه‌های فعال-فعال) یکپارچه‌شده و تراکم رمزنگاری صنعتی را پشتیبانی می‌کنند.

TPM، بر خلاف آن، تک‌ماشین و تک‌مستاجر با طراحی است. در ایمن‌سازی ایستگاه کار، حفاظت از اعتبارات دسترسی Windows Hello for Business و یکپارچگی firmware برتری دارد. برای عملیات امضای الکترونیکی در جریان‌های سند، TPM نمی‌تواند نقش خدمات رمزنگاری مشترک را ایفا کند.

هزینه و استقرار

HSM شبکه سطح شرکت (Thales Luna Network HSM، Utimaco SecurityServer، AWS CloudHSM) نشان‌دهندهٔ سرمایه‌گذاری 15000 € تا 80000 € برای سخت‌افزار روی‌سایت است، یا 1.50 € تا 3.00 € در ساعت در حالت ابری مدیریت‌شده بر اساس فروشندگان. TPM نیز، بدون هزینه اضافی در تقریباً کل PC‌های حرفه‌ای، سرورها و سیستم‌های تعبیه‌شده از 2014 (الزامی برای Windows 11 از 2021) ادغام‌شده است.

---

چه زمانی می‌توان از HSM استفاده کرد، چه زمانی از TPM در شرکت؟

پاسخ این سؤال به زمینه عملیاتی، الزامات نظارتی و معماری سیستم اطلاعات شما بستگی دارد.

HSM را برای موارد زیر انتخاب کنید:

  • استقرار PKI داخلی: کلیدهای ریشه مرجع تأیید گواهینامه داخلی شما باید حتماً در HSM‌ گواهینامه‌دار ساکن باشد تا اعتماد مرورگرهای وب را بدست آورد (CA/Browser Forum Baseline Requirements)
  • صدور امضای الکترونیکی واجد‌صلاحیت: مطابق با ضمیمه II مقررات eIDAS شماره 910/2014، QSCD‌ها باید براساس استانداردهای معادل حداقل EAL4+ گواهینامه‌دار باشند؛ مقایسه راه‌حل‌های امضای الکترونیکی این الزامات را تفصیل می‌دهد
  • ایمن‌سازی تراکنش‌های مالی با حجم بالا: استانداردهای PCI-DSS v4.0 (بخش 3.6) حفاظت کلیدهای رمزگذاری داده‌های کارت در HSM‌ها را الزام می‌کنند
  • رمزگذاری پایگاه داده یا ابر: AWS CloudHSM، Azure Dedicated HSM، Google Cloud HSM امکان حفظ کنترل کلیدها (BYOK / HYOK) را فراهم می‌کنند
  • امضای کد و یکپارچگی CI/CD: امضای اشیای نرم‌افزاری برای تأمین زنجیره ایمن نیاز به HSM برای جلوگیری از سرقت کلید دارد

TPM را برای موارد زیر انتخاب کنید:

  • ایمن‌سازی راه‌اندازی ایستگاه‌های کار و سرورها: Secure Boot + Measured Boot + attestation از راه دور از طریق TPM 2.0 پایه Zero Trust بر روی endpoint تشکیل می‌دهد
  • رمزگذاری دیسک full-disk: BitLocker with TPM داده‌های ساکن را بدون وابستگی به سرویس خارجی محافظت می‌کند
  • احراز هویت سخت‌افزاری ایستگاه‌های کار: Windows Hello for Business از TPM برای ذخیره کلیدهای خصوصی احراز هویت بدون امکان استخراج استفاده می‌کند
  • انطباق NIS2 در امنیت endpoint: دستورالعمل NIS2 (UE 2022/2555)، منتقل به حقوق فرانسه توسط قانون 13 ژوئن 2024، اقدامات فنی متناسب برای امنیت سیستم‌های اطلاعات را الزام می‌کند؛ TPM مستقیماً به ایمن‌سازی دارایی‌های مادی کمک می‌کند
  • پروژه‌های IoT صنعتی: TPM‌های تعبیه‌شده در خودکارهای صنعتی و سیستم‌های SCADA بدون زیرساخت HSM اختصاصی اثبات از راه دور را امکان‌پذیر می‌کنند

معماری‌های ترکیبی HSM + TPM

در سازمان‌های بزرگ، HSM و TPM مخالف نیستند: یکدیگر را تکمیل می‌کنند. سرور مجهز به TPM 2.0 می‌تواند یکپارچگی خود را تعریف کند در برابر سرویس مدیریت متمرکز، در حالی که عملیات رمزنگاری متن نویس (امضا، رمزگذاری داده‌های برنامه) به خوشه HSM شبکه واگذار می‌شوند. این معماری توسط ANSSI در راهنماى خود بر روی کنترل خطرات مرتبط با ارائه‌دهندگان خدمات اعتماد (PSCE) توصیه می‌شود. مراجعه کردن به واژه‌نامه امضای الکترونیکی می‌تواند به تیم‌های فنی در هماهنگ‌سازی اصطلاحات هنگام تعریف این معماری کمک کند.

چارچوب قانونی و نظارتی قابل اعمال بر HSM و TPM

انتخاب بین HSM و TPM به‌طور مستقیم انطباق سازمان شما با چندین استاندار نظارتی اروپایی و بین‌المللی را درگیر می‌کند.

مقررات eIDAS شماره 910/2014 و eIDAS 2.0 (مقررات UE 2024/1183)

ماده 29 مقررات eIDAS الزام می‌دهد که امضای الکترونیکی واجد‌صلاحیت با استفاده از دستگاه ایجاد امضای واجد‌صلاحیت (QSCD) ایجاد شوند، تعریف‌شده در ضمیمه II. این دستگاه‌ها باید رازداری کلید خصوصی، انحصار و تحریم‌ناپذیری آن را تضمین کنند. فهرست QSCD‌های شناخته‌شده توسط نهادهای ملی اعتباردهی منتشر می‌شود (در فرانسه: ANSSI). HSM‌های گواهینامه‌دار FIPS 140-3 سطح 3 یا Common Criteria EAL4+ در این فهرست‌ها ظاهر می‌شوند؛ TPM‌ها نه. ارائه‌دهندهٔ امضا مانند Certyneo برای تضمین بیشترین ارزش اثبات امضاهای ارائه‌شده بر HSM‌های واجد‌صلاحیت متکی است.

کد مدنی فرانسه، مواد 1366 و 1367

ماده 1366 ارزش حقوقی متن الکترونیکی را به شرطی می‌پذیرد که «شخصی که از آن سرچشمه می‌گیرد بتواند به‌درستی شناخته شود و در شرایطی ایجاد و حفظ شود که طبیعت آن یکپارچگی را تضمین کند». ماده 1367 شرایط امضای الکترونیکی قابل اعتماد را روشن می‌کند و به طور ضمنی الزامات eIDAS را برای امضای واجد‌صلاحیت مرجع می‌دهد.

RGPD شماره 2016/679، مواد 25 و 32

اصل حریم خصوصی توسط طراحی (ماده 25) و الزام اقدامات فنی مناسب (ماده 32) حفاظت از کلیدهای رمزنگاری برای رمزگذاری داده‌های شخصی را الزام می‌کند. استفاده از HSM‌ گواهینامه‌دار اقدام حالت هنری (هنری به معنای بند 83 RGPD) برای نمایش انطباق هنگام بررسی CNIL تشکیل می‌دهد.

دستورالعمل NIS2 (UE 2022/2555)، منتقل به فرانسه

دستورالعمل NIS2، مطبق بر موجودات و مهم‌تر از اکتبر 2024، الزام‌دهندگی الزام‌دهندهٔ اقدامات مدیریت خطرات شامل امنیت تأمین زنجیره نرم‌افزاری و رمزگذاری از ماده 21 است. HSM‌ها مستقیماً به این الزامات برای عملیات بحرانی جواب می‌دهند، در حالی که TPM‌ها به ایمن‌سازی endpoint کمک می‌کنند.

استانداردهای ETSI

استاندارد ETSI EN 319 401 (الزامات کلی برای ارائه‌دهندگان خدمات اعتماد) و ETSI EN 319 411-1/2 (الزامات برای CA‌های صادرکننده گواهینامه‌های واجد‌صلاحیت) ذخیره کلیدهای CA در HSM‌های گواهینامه‌دار را الزام می‌کند. استاندارد ETSI EN 319 132 (XAdES) و ETSI EN 319 122 (CAdES) قالب‌های امضایی را تعریف می‌کنند که استفاده از ماژول‌های امنیتی گواهینامه‌دار را پیش‌فرض می‌کنند.

توصیه‌های ANSSI

ANSSI مرجع RGS (مرجع عمومی امنیت) و راهنماى خود بر روی HSM را منتشر می‌کند، توصیه استفاده از ماژول‌های گواهینامه‌دار برای هر زیرساخت PKI حساس در سازمان‌های عمومی و OIV/OSE را می‌کند. عدم رعایت این توصیه‌ها می‌تواند نقض الزامات NIS2 برای موجودات درگیر را تشکیل دهد.

سناریوهای استفاده: HSM یا TPM بر اساس متن

سناریو 1: شرکت مدیریت دارایی مالی با PKI داخلی

شرکت مدیریت دارایی‌ای که چند میلیارد یورو دارایی تحت مدیریت را مدیریت می‌کند باید گزارش‌های نظارتی (AIFMD، MiFID II) و قراردادهای سرمایه‌گذاری را با ارزش حقوقی واجد‌صلاحیت الکترونیکی امضا کند. یک PKI داخلی را که کلیدهای ریشه (Root CA) و میانی (Issuing CA) آن در دو HSM شبکه در خوشه دسترسی‌پذیری بالا، گواهینامه‌دار FIPS 140-3 سطح 3 محافظت‌شده است استقرار می‌دهد. گواهینامه‌های واجد‌صلاحیت روی HSM‌های شریک مطابق eIDAS QSCD صادر می‌شوند. نتیجه: 100 % امضاها ارزش واجد‌صلاحیت دارند، بررسی‌های نظارتی AMF انطباق را تأیید می‌کنند، و تأخیر امضای اسناد سرمایه‌گذاری از 4 روز به کمتر از 2 ساعت کاهش می‌یابد. هزینه زیرساخت HSM در کمتر از 18 ماه در مقابل هزینه‌های عدم‌انطباق احتمالی سود می‌برند.

سناریو 2: شرکت تولیدی کوچک با 150 کارمند ایمن‌سازی پارک ایستگاه کار

شرکت تولیدی در بخش تولید هوانوردی، تأمین‌کننده رتبه 2 تحت الزامات CMMC (مدل بلوغ سایبری امنیتی) و توصیه‌های NIS2، باید 150 ایستگاه Windows را در برابر سرقت داده‌های فنی حساس ایمن کند. RSSI BitLocker را با TPM 2.0 در کل پارک استقرار می‌دهد، کوپل با Windows Hello for Business برای احراز هویت بدون کلمه‌عبور. تعریف از راه دور از طریق TPM در حل MDM (Microsoft Intune) یکپارچه‌شده است. هیچ HSM در این زمینه ضروری نیست: TPM‌های یکپارچه‌شده در Dell و HP کافی است. نتیجه: خطر نشت داده‌ها پس از سرقت فیزیکی لپ‌تاپ به نزدیک‌به‌صفر کاهش می‌یابد، و امتیاز بلوغ سایبری امنیتی شرکت کوچک به 40 % براساس خود‌ارزیابی CMMC پیشرفت می‌کند. هزینه اضافی: 0 € (TPM قبلاً در ماشین‌ها یکپارچه‌شده است).

سناریو 3: اپراتور پلتفرم SaaS امضای الکترونیکی چند مشتری

اپراتور SaaS ارائه‌دهندهٔ خدمات امضای الکترونیکی برای صدها شرکت مشتری باید الزام رازداری رمزنگاری میان مشتریان و شایستگی eIDAS خدمت خود را تضمین کند. یک معماری بر اساس HSM در حالت ابری اختصاصی (AWS CloudHSM یا Thales DPoD) استقرار می‌دهد، با یک پارتیشن HSM برای هر مستاجر بزرگ و یک استخر اشتراک‌پذیری برای مشتریان استاندارد. هر مشتری از کلیدهای جدا‌شده در پارتیشن خود بهره‌مند است، به‌طور مستقل قابل بررسی. TPM‌ها سرورهای برنامه را برای تعریف یکپارچگی پلتفرم هنگام بررسی‌های گواهینامه eIDAS (QTSP) تجهیز می‌کند. نتیجه: اپراتور شایستگی QTSP را از ANSSI به دست می‌آورد، ارائه دهندهٔ امضای واجد‌صلاح

Certyneo را به صورت رایگان امتحان کنید

اولین پاکت امضای خود را در کمتر از 5 دقیقه ارسال کنید. 5 پاکت رایگان در ماه، بدون کارت بانکی.

عمیق‌تر شدن در موضوع

راهنماهای جامع ما برای تسلط بر امضای الکترونیکی.

团体 Certyneo

سوالی در مورد امضای الکترونیکی دارید؟

انضم به جامعه Certyneo: سوالات خود را پرسیدید، پاسخ‌ها خود را به اشتراک بگذارید و با هزاران کاربران و تیم ما در ارتباط باشید.