رفتن به محتوای اصلی
Certyneo
اصطلاح واژه‌نامه · H

HSM (Hardware Security Module)

تعریف

یک HSM (Hardware Security Module، ماژول امنیت سخت‌افزاری) یک تجهیز سخت‌افزاری تنگ‌بندی‌شده است که برای تولید، نگهداری و استفاده ایمن کلیدهای رمزنگاری اختصاص‌یافته است. HSM عملیات رمزنگاری (امضا، رمزگشایی، تولید کلید) را بدون هرگز افشای کلید خصوصی انجام می‌دهد — کلید در داخل محدوده سخت‌افزاری باقی می‌ماند، توسط اقدام‌های مقابلهی فیزیکی محافظت‌شده (حسگرهای ضد نفوذ، حذف خودکار در هر تلاش برای باز کردن).

گواهی‌های HSM: برای واجد‌شرایط شدن براساس مقررات eIDAS، یک HSM باید استانداردهای سخت‌گیرانه‌ای را رعایت کند — FIPS 140-2 سطح 3 یا FIPS 140-3 سطح 3+ (استاندارد آمریکایی NIST)، و/یا Critères Communs EAL4+ (استاندارد اروپایی). HSM‌های گواهی‌شده Critères Communs برای میزبانی کلیدهای امضای واجد‌شرایط (QES) و کلیدهای مهرزمانی واجد‌شرایط واجد‌شرایط هستند. فهرست اعتماد اروپایی (EU Trusted List) HSM‌های مجاز برای هر ارائه‌دهنده واجد‌شرایط را نام‌برده است.

HSM ابری در مقابل HSM فیزیکی: تاریخی‌اً HSM‌ها دستگاه‌های اختصاص‌یافته‌ای بودند که در مرکز داده خصوصی نصب می‌شدند. تأمین‌کنندگان ابری اکنون HSM‌های مشترک یا اختصاص‌یافته را در SaaS پیشنهاد می‌دهند — AWS CloudHSM، Azure Dedicated HSM، Google Cloud HSM، اما همچنین HSM‌های ملی که توسط QTSP‌های اروپایی عملیاتی هستند. مقررات eIDAS 2.0 به‌طور صریح HSM‌های ابری را برای امضای واجد‌شرایط از راه دور به رسمیت می‌شناسد.

HSM و رمزنگاری (« رمزنگاری HSM »): فراتر از امضا، HSM‌ها کلیدهای رمزنگاری پایگاه‌داده، کلیدهای رمزنگاری دیسک (BitLocker، FileVault، LUKS)، کلیدهای ریشه PKI داخلی، و اسرار کاربردی را محافظت می‌کنند. چرخش، پشتیبان‌گیری و لغو کلید‌ها از طریق PKCS#11 یا رابط‌های اختصاصی مدیریت می‌شوند.

پیاده‌سازی Certyneo: کلیدهای رمزنگاری امضای از راه دور در HSM‌های Critères Communs EAL4+ که توسط ارائه‌دهنده خدمات اعتماد واجد‌شرایط (QTSP) عملیاتی هستند، میزبانی می‌شوند. هیچ کلید خصوصی هرگز برای Certyneo یا میزبان آن قابل‌دسترس نیست — هر عملیات امضا از طریق احراز هویت قوی امضاکننده و یک فراخوانی API به HSM عبور می‌کند، که امضا را بدون افشای کلید برمی‌گرداند. همچنین QSCD و امضای ابری را ببینید.

سؤالات متداول

HSM (Hardware Security Module) چیست؟

HSM دستگاه سخت‌افزاری اختصاص‌یافته و تنگ‌بندی‌شده‌ای است که کلیدهای رمزنگاری را در داخل سخت‌افزاری گواهی‌شده تولید، ذخیره و استفاده می‌کند. کلیدهای خصوصی هرگز به‌صورت متن‌ساده از ماژول خارج نمی‌شوند، که HSM‌ها را بنیاد اعتماد امضاها و مهرهای الکترونیکی واجد‌شرایط می‌سازد.

HSM برای چه کاری استفاده می‌شود؟

در سطح یک پلتفرم امضا، HSM کلیدهای امضا را میزبانی می‌کند و خود عملیات رمزنگاری را انجام می‌دهد: ماده کلید هرگز برای سرور کاربردی قابل‌افشا نیست. HSM‌ها همچنین کلیدهای TLS، کارگزاری‌های اعتماد PKI، پرداخت‌ها و رمزنگاری پایگاه‌داده‌ها را محافظت می‌کنند.

تفاوت بین HSM و ذخیره‌سازی نرم‌افزاری کلیدها چیست؟

یک فروشگاه کلید نرم‌افزاری کلیدها را در حافظه یا روی دیسک سرور نگه می‌دارد، جایی که یک تنها سازش اجازه می‌دهد کپی کنند. یک HSM کلیدها را در سخت‌افزار گواهی‌شده و تنگ‌بندی‌شده (FIPS 140-2/3، Critères Communs EAL4+) نگه می‌دارد و تنها عملیات امضا یا رمزگشایی را افشا می‌کند، هرگز خود کلیدها را نه.

آیا HSM برای امضای الکترونیکی واجد شرایط (eIDAS) الزامی است؟

بله. بر اساس آیین‌نامه eIDAS، امضای الکترونیکی واجد شرایط باید با استفاده از دستگاه ایجاد امضای واجد شرایط (QSCD) ایجاد شود. در عمل، این QSCD یک HSM تایید‌شده است که توسط ارائه‌دهنده خدمات اعتماد واجد شرایط مدیریت می‌شود و کلید امضاکننده را در بالاترین سطح مورد نیاز توسط مقررات محافظت می‌کند.

HSM ابری چیست؟

HSM ابری یک ماژول سختافزاری تایید‌شده است که به‌صورت خدمات مدیریت‌شده ارائه می‌شود: سازمان از محافظت کلیدهای سطح HSM بدون مدیریت خود سختافزار بهره‌مند می‌شود. امضای واجد شرایط از راه‌دور به HSM‌های ابری متعلق به ارائه‌دهنده خدمات اعتماد تکیه می‌کند.

آماده‌اید این مفاهیم را به عمل درآورید؟

Certyneo به شما اجازه می‌دهد در چند کلیک پوشش‌های امضای منطبق با eIDAS را بدون نیاز به نصب ایجاد کنید.