HSM (Hardware Security Module)
تعریف
گواهیهای HSM: برای واجدشرایط شدن براساس مقررات eIDAS، یک HSM باید استانداردهای سختگیرانهای را رعایت کند — FIPS 140-2 سطح 3 یا FIPS 140-3 سطح 3+ (استاندارد آمریکایی NIST)، و/یا Critères Communs EAL4+ (استاندارد اروپایی). HSMهای گواهیشده Critères Communs برای میزبانی کلیدهای امضای واجدشرایط (QES) و کلیدهای مهرزمانی واجدشرایط واجدشرایط هستند. فهرست اعتماد اروپایی (EU Trusted List) HSMهای مجاز برای هر ارائهدهنده واجدشرایط را نامبرده است.
HSM ابری در مقابل HSM فیزیکی: تاریخیاً HSMها دستگاههای اختصاصیافتهای بودند که در مرکز داده خصوصی نصب میشدند. تأمینکنندگان ابری اکنون HSMهای مشترک یا اختصاصیافته را در SaaS پیشنهاد میدهند — AWS CloudHSM، Azure Dedicated HSM، Google Cloud HSM، اما همچنین HSMهای ملی که توسط QTSPهای اروپایی عملیاتی هستند. مقررات eIDAS 2.0 بهطور صریح HSMهای ابری را برای امضای واجدشرایط از راه دور به رسمیت میشناسد.
HSM و رمزنگاری (« رمزنگاری HSM »): فراتر از امضا، HSMها کلیدهای رمزنگاری پایگاهداده، کلیدهای رمزنگاری دیسک (BitLocker، FileVault، LUKS)، کلیدهای ریشه PKI داخلی، و اسرار کاربردی را محافظت میکنند. چرخش، پشتیبانگیری و لغو کلیدها از طریق PKCS#11 یا رابطهای اختصاصی مدیریت میشوند.
پیادهسازی Certyneo: کلیدهای رمزنگاری امضای از راه دور در HSMهای Critères Communs EAL4+ که توسط ارائهدهنده خدمات اعتماد واجدشرایط (QTSP) عملیاتی هستند، میزبانی میشوند. هیچ کلید خصوصی هرگز برای Certyneo یا میزبان آن قابلدسترس نیست — هر عملیات امضا از طریق احراز هویت قوی امضاکننده و یک فراخوانی API به HSM عبور میکند، که امضا را بدون افشای کلید برمیگرداند. همچنین QSCD و امضای ابری را ببینید.
سؤالات متداول
HSM (Hardware Security Module) چیست؟
HSM دستگاه سختافزاری اختصاصیافته و تنگبندیشدهای است که کلیدهای رمزنگاری را در داخل سختافزاری گواهیشده تولید، ذخیره و استفاده میکند. کلیدهای خصوصی هرگز بهصورت متنساده از ماژول خارج نمیشوند، که HSMها را بنیاد اعتماد امضاها و مهرهای الکترونیکی واجدشرایط میسازد.
HSM برای چه کاری استفاده میشود؟
در سطح یک پلتفرم امضا، HSM کلیدهای امضا را میزبانی میکند و خود عملیات رمزنگاری را انجام میدهد: ماده کلید هرگز برای سرور کاربردی قابلافشا نیست. HSMها همچنین کلیدهای TLS، کارگزاریهای اعتماد PKI، پرداختها و رمزنگاری پایگاهدادهها را محافظت میکنند.
تفاوت بین HSM و ذخیرهسازی نرمافزاری کلیدها چیست؟
یک فروشگاه کلید نرمافزاری کلیدها را در حافظه یا روی دیسک سرور نگه میدارد، جایی که یک تنها سازش اجازه میدهد کپی کنند. یک HSM کلیدها را در سختافزار گواهیشده و تنگبندیشده (FIPS 140-2/3، Critères Communs EAL4+) نگه میدارد و تنها عملیات امضا یا رمزگشایی را افشا میکند، هرگز خود کلیدها را نه.
آیا HSM برای امضای الکترونیکی واجد شرایط (eIDAS) الزامی است؟
بله. بر اساس آییننامه eIDAS، امضای الکترونیکی واجد شرایط باید با استفاده از دستگاه ایجاد امضای واجد شرایط (QSCD) ایجاد شود. در عمل، این QSCD یک HSM تاییدشده است که توسط ارائهدهنده خدمات اعتماد واجد شرایط مدیریت میشود و کلید امضاکننده را در بالاترین سطح مورد نیاز توسط مقررات محافظت میکند.
HSM ابری چیست؟
HSM ابری یک ماژول سختافزاری تاییدشده است که بهصورت خدمات مدیریتشده ارائه میشود: سازمان از محافظت کلیدهای سطح HSM بدون مدیریت خود سختافزار بهرهمند میشود. امضای واجد شرایط از راهدور به HSMهای ابری متعلق به ارائهدهنده خدمات اعتماد تکیه میکند.
راهنماهای مرتبط
اصطلاحات مرتبط
آمادهاید این مفاهیم را به عمل درآورید؟
Certyneo به شما اجازه میدهد در چند کلیک پوششهای امضای منطبق با eIDAS را بدون نیاز به نصب ایجاد کنید.