HSM vs TPM : cad atá an difríochtaí agus cé a roghnú?

Réamhrá : dhá mhodúl, dhá fhealasúnacht slándála

I réimse na cripteagrafaíochta fheidhmiúnaí agus dhíon na n-eochracha digiteacha, bíonn dhá theicneolaíocht ag filleadh go rialta i ndíospóireachtaí na nDSI agus RSSI : an HSM (Hardware Security Module) agus an TPM (Trusted Platform Module). Roinneann an dá dhéileáid chrua-earraí seo sprioc choiteann — oibríochtaí cripteagrafaíochta íogair a dhíon — ach tá difríochtaí bunúsacha idir a n-ailtireacht, a gcásanna úsáide agus a leibhéal fíordheimhnithe. Is féidir leo a bheith meallta do rogha infreastruchtúir neamhoiriúnach, nó fiú do bhhearnaí comhlíonadh rialacháin. Tugann an alt seo duit na heochracha a thuiscint an difríochtaí HSM vs TPM, a aithint cathain ceann amháin a úsáid nó an ceann eile, agus an cinneadh is fearr a dhéanamh do do eagraíocht i 2026.

---

Cad is HSM (Hardware Security Module) ann?

Is gléas crua-earraí tiomnaithe a bhíonn i Hardware Security Module, deartha go sonrach chun eochracha cripteagrafaíochta a ghiniúint, a stóráil agus a bhainistiú i timpeallacht a bhíonn slándála fisiciúil agus loighciúil aici. Is comhpháirt neamhspleách é — go minic i bhfoirm cárta PCIe, ionaid ghréasáin nó seirbhís scamall (HSM as a Service) — arb é an phríomhfheidhm aici ná oibríochtaí cripteagrafaíochta a fheidhmiú go tapaidh gan na heochracha riamh a noirmiú lasmuigh den mhodúl.

Tréithe teicniúla an HSM

Tá fíordheimhnithe ar HSM de réir caighdeáin idirnáisiúnta dhocht, go háirithe FIPS 140-2 / FIPS 140-3 (leibhéal 2, 3 nó 4) a fhoilsíodh ag NIST, agus Common Criteria EAL4+ de réir ISO/IEC 15408. Ciallaíonn na fíordheimhnithí seo meicníochtaí frithamharc fisiceach (tamper-resistance), braisteoirí ionraidh, agus scrios uathoibríoch na n-eochracha i gcás iarrachta truaillithe.

Soláthraíonn HSM tipiciúil:

• Acmhainn phróiseála ard : suas go roinnt míle oibríochtaí RSA nó ECDSA gach soicind
• Iolraithíoracht-dhéanamh : bainistiú na gcéadta naisc chripteagrafaíochta neamhspleácha
• Comhéadain chaighdeánacha : PKCS#11, Microsoft CNG, JCA/JCE, OpenSSL engine
• Riain iomlán an aschuir : logáil dhosháraithe gach oibríochta

Cásanna tipiciúla úsáide an HSM

Is croílár an HSM den dhúnmharú leictreonach incháilíochta i nós an rialachleis eIDAS, áit a gcaithfidh príobháideach-eochra an sínitheora a bheith ginte agus stóráilte i gléas cáilíochtúil a chruthaithe sínithe (QSCD). Cuireann siad freisin fóntais ar fhreagróirí na hionadaithe (CA/PKI), córais íocaíochta (PCI-DSS HSM), infreastruchtúir dhíchealladh bhunachair sonraí, agus timpeallachtaí sínithe chód.

Bíonn breis agus a chothrom ar an ríomhshíniú cuachta cáilíochtúil i bhfiontar ag brath ar HSM arna dhéimhniú mar QSCD chun an fhiú dlíthiúil uasta na sínithe a bhaint amach.

---

Cad is TPM (Trusted Platform Module) ann?

Is fhocal Trusted Platform Module ná an fhocal a bhaineann le scuipe slándála ionsuite go díreach ar an tábla príomhchábla an ríomhaire, an fhreastalaí nó an réad ceangailte. Caighdeánaíthe ag an Trusted Computing Group (TCG), arb é an sonraighnéas TPM 2.0 atá gnáth-normalaithe faoi ISO/IEC 11889:2015, is dearadh an TPM chun an ardán féin a thíolacadh slándála seachas a bheith ina sheirbhís chripteagrafaíochta láraithe roinnte.

Ailtireacht agus oibríochtaí an TPM

Go neamhchosúil leis an HSM, is comhpháirt aonúsáide an TPM, ceangailte ar ghléas crua-earraí ar leith. Ní féidir a bhogadh ná a roinnt idir iolraí meisíní. Is iad na feidhmeanna príomha:

• Tomhas an tsláine an tasc tosaigh (Secure Boot, Measured Boot) trí na Platform Configuration Registers (PCR)
• Stóráil gal greamaithe an ardáin : ní féidir na gal a ghabhann ag an TPM a úsáid ach ar an meisín ar ar chruthaíodh iad
• Giniúint thairbhiúil na n-uimhreacha cripteagrafaíochta (RNG)
• Fianaise i bhfad : a chruthu ar fhreastalaí i bhfad go bhfuil an ardán i staid eolais ar leith
• Tiomáint dhíchealladh : BitLocker ar Windows, dm-crypt le TPM ar Linux a bhraithim go díreach ar an TPM

Críocha an TPM do na húsáidí gníomhaire ardleibhéal

Tá fíordheimhnithe ar TPM 2.0 FIPS 140-2 leibhéal 1 ar a dhéanaí, atá i bhfad níos ísle ná fíordheimhnithí FIPS 140-3 leibhéal 3 na modúl HSM oibreora. Tá a acmhainn phróiseála cripteagrafaíochta teoranta (roinnt nóiméad oibríochtaí gach soicind), agus ní bhraithim comhéadain PKCS#11 nó CNG i ndhóigh chomh iomlán is a bhraithim HSM tiomnaithe. Do dhúnmharú leictreonach ardleibhéal nó cáilíochtúil, bíonn an TPM ar a dhéanaí gan leor i leith na riachtanas eIDAS iarscríbhinn II ar QSCDs.

---

Difríochtaí bunúsacha HSM vs TPM : tábla comparáide

Tuiscint ar an difríochtaí HSM vs TPM Trusted Platform Module a ghealadh trí chomparáid bhreise na gcritéar a bhraithim chun an fhiontar.

Leibhéal fíordheimhnithe agus thúiscint slándála

| Critéar | HSM | TPM | |---|---|---| | Fíordheimhnithe FIPS | 140-3 leibhéal 2 go 4 | 140-2 leibhéal 1 | | Common Criteria | EAL4+ go EAL7 | EAL4 | | Cáilíochtú eIDAS QSCD | Sea (mar shampla : Thales Luna, Utimaco) | Níl | | Frithamharc fisiceach | Ardleibhéal (féinfhriotal) | Bunúsach |

Acmhainn, scálúil agus comhtháthú

Is gléasa iolraithíochta-úsáideora agus iolraithíochta-iarratas HSM : is féidir le ionad gréasáin amháin a sheirbhís go comhtharlánach céadta cliant, iarratas agus seirbhís trí PKCS#11 nó REST API. Comhtháthraítear siad in ailtireachtaí ard-ábaltachta (cnuasacha gníomhach-gníomhach) agus tacaítear do dhabhte cripteagrafaíochta iomaíochtúla.

An TPM, ar an láimh eile, is meisín aonúsáide agus aontóir aon-tenant trí dhearadh. Is é a bharr ann maidir le cosaint ar an ionad oibre, cosaint ar na gcredentials access Windows Hello for Business, agus an slándála an fhirmfheare. Do na hoibríochtaí de dhúnmharú leictreonach i obairbhirt dhocumint, ní féidir le TPM a raibh ról na seirbhíse cripteagrafaíochta roinnte.

Costas agus forbairt

Is ionann HSM gréasáin leibhéal fiontar (Thales Luna Network HSM, Utimaco SecurityServer, AWS CloudHSM) ar 15 000 € go 80 000 € do chuid crua-earraí on-premise, nó idir 1,50 € agus 3,00 € gach uair i modh scamall bhainistithe de réir na bhfornóirí. An TPM, ar an láimh eile, is gléas neamhchostas iolraithe i beagnach gach PC oibriúcháin, freastalaí agus córais leabaithe ó 2014 (riachtanach do Windows 11 ó 2021).

---

Cathain a úsáid HSM, cathain a úsáid TPM i bhfiontar?

Bíonn an freagra ar an cheist seo ag brath ar do chomhthéacs oibriúcháin, ar do riachtanas rialacháin agus ar ailtireacht do chóras faisnéise.

Roghnú HSM ar son:

• PKI inmheánach a fhorbairt : ní mór do na heochracha fréimhe do bhainisteoirí soláthair a bheith ina bhfoinéis HSM chruthaithe go dtí go bhfaighis muinín na n-obráidh (CA/Browser Forum Baseline Requirements)
• Sínithe leictreonacha incháilíochtaí a eisiúint : i gcomhréir le hiarscríbhinn II an rialachláis eIDAS n°910/2014, caithfidh QSCDs a bheith chruthaithe de réir caighdeáin choibhéiseach le EAL4+ ar a laghad ; is é an comparáid na réitigh dhúnmharú leictreonach atá tuilleasc seo na riachtanas
• Idirbhirt airgeadais ar dhoimhneacht ard a thíolacadh : is gá go bhfuil rialachleis PCI-DSS v4.0 (alt 3.6) a dhíon ar eochracha dhíchealladh na sonraí cárta i HSM
• Dídh-chealladh bunachair sonraí nó scamall : tugann AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM cumhacht do bhainistiú ar na heochracha (BYOK / HYOK)
• Sínithe chód agus slándála na mbuilds CI/CD : cosaint ar na n-artefacht bogearraí ar son an tslabhra slándála a bhraithim HSM chun gal a scrios

Roghnú TPM ar son:

• Tosach na bhpost agus na bhfreastalaí a thíolacadh : Secure Boot + Measured Boot + fianaise i bhfad trí TPM 2.0 is bunús Zero Trust ar endpoint
• Tiomáint iomlán-dhiosca a dhíchealladh : BitLocker le TPM a dhíon na sonraí ar chónasc gan spriochúlachta ar sheirbhís sheachtrach
• Fíordheimhnithe crua-earraí na bpost : bíonn Windows Hello for Business ag úsáid TPM chun na heochracha príobháideacha fíordheimhnithe a stóráil gan deis tarrtha
• Comhlíonadh NIS2 ar an tsábháilteacht na bpost : is gá go ndéanann an treoir NIS2 (AE 2022/2555), a thógadh i ndlí na Fraince tríd an dlí an 13 Meitheamh 2024, bearta teicniúla cuibheasaithe ar thásc sonraí ; tugann an TPM go díreach do thuiscint na bhpost crua-earraí
• Tionscadal IoT thionsclaíoch : tugann na TPM leabaithe i dteanga agus i gcóras SCADA an fianaise i bhfad gan infreastruchtúr HSM tiomnaithe
• Ailtireachtaí hibrideacha HSM + TPM

I stór móra fiontar, ní thug an HSM agus an TPM go ndíreach : cumasaítear siad. Is féidir le freastalaí le TPM 2.0 fianaise a dhíon do sheirbhís bhainistíochta láraithe, agus oibríochtaí chripteagrafaíochta gníomhaire (síniú, dícheallú na sonraí iarratas) a thascadh do chomhpháirc HSM gréasáin. Moltar an ailtireacht seo ag ANSSI ina threoir ar riosca a bhainistiú i dtaca le soláthraí na seirbhísí fíordheimhnithe (PSCE). Is féidir a thabhairt an ghluais dhúnmharú leictreonach foirceadal cabhraí do fhoireann theicniúla an teangeolaíochta a chomhordú nuair a bhíonn an ailtireacht seo á sainiú.

Creat dlí agus normalach ar bith ar HSM agus TPM

Baineann an rogha idir HSM agus TPM go díreach ar an chomhréir do do eagraíocht a bheith ag tagairt do roinnt thagairt rialúcháin Eorpach agus idirnáisiúnta.

Rialachleis eIDAS n°910/2014 agus eIDAS 2.0 (rialachleis AE 2024/1183)

Nó bhraithim an t-alt 29 den rialachleis eIDAS go bhfuil sínithe leictreonacha incháilíochtaí a chruthú ar bhealach an Qualified Signature Creation Device (QSCD), atá sainmhínithe ar iarscríbhinn II. Caithfidh na gléas seo a bhraithim príobháideacht na príobháideach-eochra, a aonúlacht agus a bhoinn-dhílse. Is foilsíthe ag na ndoiciméid náisiúnta fíordheimhnithe ag rialachleis (i bhFrainc : ANSSI) an QSCD a bhraithim. Na HSM fíordheilmhnithe FIPS 140-3 leibhéal 3 nó Common Criteria EAL4+ ar leith ar na liosta ; ní bhraithim TPM orthu. A gníomhartha soláthraí sínithe ar nós Certyneo ar na HSM cruthaithe chun a bhraithim an fhiú dlíthiúil uasta na sínithe a bhaint amach.

Cód sibhialta na Fraince, alt 1366 agus 1367

Bíonn an t-alt 1366 ag tabhairt gealadh don scríbhinn leictreonach « ar choinníoll go bhfuil an duine ar as a bhraithim an duine ar, agus go bhfuil sé ar leith agus ar chaomhnú i gcoinníollacha a bhraithim an slándála air ». Soiléireann an t-alt 1367 na coinníollacha an sínithe leictreonach cuibheasaithe, ag tabhairt dó implíciúil na riachtanas eIDAS ar sínithe incháilíochtaí.

RGPD n°2016/679, ait 25 agus 32

Bíonn an phrionsabal de privacy by design (alt 25) agus an riachtanas bearta teicniúla cuibheasaithe (alt 32) ag brath ar dhíon na n-eochracha cripteagrafaíochta a úsáidtear chun na sonraí pearsantúil a dhícheallú. Is féidir le imirt ar HSM chruthaithe a bhraithim bearta staid na healaíona (staid na healaíona i nós an alt 83 den RGPD) chun an comhréir a fhéachaint nuair a bhraithim an CNIL.

Treoir NIS2 (AE 2022/2555), a thógadh i bhFrainc

Bíonn an treoir NIS2, inúsáidte do na ndoiciméid riachtabach agus thabhair ó Dheireadh Fómhair 2024, ag brath ar an alt 21 na bearta bainistíochta riosca a bhraithim ar an tsábháilteacht ar an slabhra soláthair bhogearraí agus an díchealladh. Bíonn na HSM ag freagairt go díreach don riachtanas ar oibríochtaí criticiúla, agus tugann na TPM le fios don tsábháilteacht na bpost.

Caighdeáin ETSI

An caighdeán ETSI EN 319 401 (riachtanas ginearálta ar na soláthraí na seirbhísí fíordheimhnithe) agus ETSI EN 319 411-1/2 (riachtanas ar an CA a bhraithim ar na deimhnithe incháilíochtaí) a bhraithim ar stóráil na n-eochracha CA i HSM chruthaithe. An caighdeán ETSI EN 319 132 (XAdES) agus ETSI EN 319 122 (CAdES) a bhraithim ar na fhormáidí sínithe a bhraithim ar an úsáid na modúil slándála chruthaithe.

Moltaí ANSSI

Foilsíonn ANSSI an tagartha RGS (Référentiel Général de Sécurité) agus a dhreol ar HSM, ag moltar an úsáid a bhraithim ar modúl chruthaithe ar an aon infreastruchtúr PKI chriticiúil ar an stát agus ar an OIV/OSE. An neamh-chomhlíonadh na moltar seo a bhraithim ar bhréachtúlacht ar an riachtanas NIS2 ar an ndoiciméid ar leith.

Cásanna úsáide : HSM nó TPM de réir an chomhthéacs

Cás 1 : cuideachta bhainistithe na n-acmhainní airgeadais le PKI inmheánach

Cuideachta bhainistithe na n-acmhainní i bhfoireann atá i mbainistiú roinnt billiún euro ar bhreis ag baint gá chun sínithe leictreonacha ar thuairisceáin rialacháin (AIFMD, MiFID II) agus ar chonarthaí infheistíochta le fiú dlíthiúil incháilíochtaí. Forbraíonn sí PKI inmheánach arb é na heochracha fréimhe (Root CA) agus idirmheánacha (Issuing CA) a bhraithim dhá HSM gréasáin i gceangal ard-ábaltachta, cruthaithe FIPS 140-3 leibhéal 3. Is eisiúint na deimhnithe incháilíochtaí ar HSM chomhpháirtí comhréir eIDAS QSCD. Toradh : 100% ar na sínithe a bhraithim fiú incháilíochtaí, deimhin ríoruint rialacháin AMF ar an chomhréir, agus an tréimhse síniú na ndochumaint infheistíochta i laghdúchán ó 4 lá go níos lú ná 2 uair. An costas infreastruchtúr HSM a bhraithim ar bharrfhiú níos lú ná 18 mí i gcomparáid le costas neamh-chomhréir a bhraithim.

Cás 2 : PME tionsclaíoch 150 oibreoir ag díon a phairc bhpost oibre

PME i réimse an dhéantús aeraspáis, soláthraí ranganna 2 comhréir ar an riachtanas CMMC (Cybersecurity Maturity Model Certification) agus ar mholtaí NIS2, ag baint gá chun 150 bhpost Windows a thíolacadh i gcoinne an ghoid na sonraí theicniúla íogair. Forbraíonn an RSSI BitLocker le TPM 2.0 ar an iomlán páirc, chomhpháirc le Windows Hello for Business ar son an fíordheimhnithe gan focal-faire. An fianaise i bhfad trí TPM a bhraithim i an tsaghas MDM (Microsoft Intune). Níl aon HSM riachtanach sa chomhthéacs seo : an TPM ionsuite na bhpost Dell agus HP a leor. Toradh : an riosca a choisc sonraí i ndiaidh an ghoit fisiceach ar laptop a laghdaítear go beagnach-nialas, agus an scór matúrachta sibhialtachta na PME a bharrfhéachaint 40% de réir an féinmhéasuir CMMC. Costas breise : 0 € (TPM ar a dhéanaí ionsuite ar an meisín).

Cás 3 : oibreoir a bhraithim ar an ardán SaaS sínithe leictreonach iolraithíochta-cliant

Oibreoir SaaS a chur i láthair na seirbhísí sínithe leictreonach ar roinnt chéad fhiontar chlientaí ag baint gá chun a bhraithim ar an tíolacadh cripteagrafaíochta idir chlientaí agus ar an cháilíochtú eIDAS ar a sheirbhís. Forbraíonn sí ailtireacht ar bhunús na HSM i modh scamall tiomnaithe (AWS CloudHSM nó Thales DPoD), le naisc HSM gach tenant ar scála mór agus pool roinnte ar son an chlientaí caighdeánach. Soláthraíonn gach cliant na heochracha tíolactha ina naisc, auditábhail neamhspleách. Cuireann TPM fóntais ar fhreastalaí iarratas ar son an fianaise ar an tsábháilteacht a bhraithim ag an ardán nuair a bhraithim audité chéalta eIDAS (QTSP). Toradh : Roinn an oibreoir ar fhíordheimhnithe QTSP ag ANSSI, geal deis sínithe incháilíochtaí a eisiúint. An modh HSM as a Service a laghdaítear capex infreastruchtúr 60% i gcomparáid le soláthair on-premise, de réir na gbenchmarcanna sectóirelacha comparáide.

Críoch

An difríochtaí idir HSM agus TPM atá bunúsach : is é an HSM na seirbhíse cripteagrafaíochta roinnte, ard-ábaltachta agus iolraithíochta-iarratas, gá ar son na PKI, na sínithe incháilíochtaí eIDAS agus ar an chomhréir PCI-DSS nó NIS2 ar scála mór. Is é an TPM na comhpháirt fíordheimhnithe ceangailte ar ardán crua-earraí ar leith, idéalach ar son díon na bpost, an tosach slándála agus an fíordheimhnithe áitiúil. I bhformhór na n-ailtireachtaí enterprise aibíocha de 2026, comónaítear an dá rá le róil chomhlánaitheocha agus neamh-ionadaithe.

Má bhraithim do eagraíocht ag iarraidh soláthair a dhéanamh ar réiteach sínithe leictreonach incháilíochtaí a bhraithim ar infreastruchtúr HSM cruthaithe, gan an castacht theicniúil inmheánach a bhainistiú, tugann Certyneo duit ardán SaaS eochair-i-gcruth, comhréir eIDAS agus RGPD. Faigh amach na praghsanna Certyneo nó cuir i gcomhar le ár n-easperta ar son audité ar do riachtanas cripteagrafaíochta.