Téigh go dtí an príomhábhar
Certyneo
Cripteagraf crua-earraí · FIPS 140-3 · CC EAL4+

HSM (Modúl Slándála Cís): cén fáth agus cathain a úsáid

Is feiste leictreonach neamh-thréigthe é HSM (Hardware Security Module, i bhFraincis modúl crua-earraí slándála) a ghineann, a stórálann agus a úsáideann eochair chripteagrafach gan iad a nochtadh go soiléir taobh amuigh den chiste. Is é an comhpháirt crua-earraí é a chuireann ar chumas sínithe leictreonacha cáilithe (QES) de réir rialacháin eIDAS, criptithe eochair phoiblí (PKI), fréamhshruth iontaoibh údaráis deimhniúcháin (CA), agus go forleathan aon oibríocht chripteagrafach a éilíonn ráthaíocht neamh-thréigthe fisiciúil agus loighciúil. Míníonn an treoir choimeasach seo cad é HSM, cad a úsáideann sé, conas a dheimhnítear é (FIPS 140-2, FIPS 140-3, Common Criteria EAL4), agus tá sé difriúil ó fhéachaint nó ó oibríocht ríomhaireachta.

Cad é HSM go sonrach?

Is bosca crua-earraí é HSM (rack 1U, cárta PCIe, USB key nó feiste líonra) a dhéanann oibríochtaí criptografacha (ghinearáil eochair, síntiús, criptithe, díghriptithe, hashing) taobh istigh de chlúdach fisiciúil faoi ghlas. Ní fhágann eochair phríobháideacha an HSM riamh: tugann aon iarracht aistarraingthe fisiciúil freagra láithreach (tamper response).

Go sonrach, seolann feidhmchlár atá ag iarraidh doiciméad a shíniú an comhdhéanamh (hash SHA-256) den doiciméad chuig an HSM trí API caighdeánaithe (PKCS#11, KMIP, CNG, JCE). Síníonn an HSM an hash le eochair phríobháideach a chónaíonn go heisiach ina chlúdach, agus ansin tugann sé ar ais an síniú. Tá an síniú agus an deimhniú poiblí comhfhreagrach ann ach fanann an eochair phríobháideach faoi chosaint go neamhshláintiúil. Is é seo a idirdíonn síniú cáilithe eIDAS (QES, le tacaíocht ó HSM le soláthraí cáilithe) ó shíniú cáilithe simplí (SES, gan aon stróideadh fisiceach) nó chun cinn (AES, eochair rialaithe ag an síniúóir).

Cúig úsáid ina bhfuil gá le HSM

Ní áis don phobal i gcoitinne é an HSM: éilítear é nuair a éilíonn rialachán, caighdeán nó conradh ráthaíocht ábhartha ar neamhthruailliúlacht na gcnaipeanna.

Tá an t-ábhar a úsáidtear chun an t-ábhar a athsholáthar.

I gcás ina bhfuil an t-ábhar a bhfuil an t-ábhar a bhfuil an t-ábhar a bhfuil an t-ábhar a bhfuil an t-ábhar a bhfuil an t-ábhar a bhfuil an t-ábhar a bhfuil an t-ábhar a bhfuil an t-ábhar a bhfuil an t-ábhar a bhfuil an t-ábhar a bhfuil an t-ábhar a bhfuil an t-ábhar a bhfuil an t-ábhar a bhfuil an t-ábhar a bhfuil an t-ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an t-ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil

Códú sonraí íogaire

Baineann na HSManna le príomhphrionsaí criptithe (Key Encryption Keys, KEK) a dhéanann na príomhphrionsaí criptithe do bhunachar sonraí, do dhoscaí (BitLocker, LUKS) nó do chúltacaí a chriptiú.

An t-údarás deimhnithe (PKI)

Ba chóir go mbeadh an príomhphrionsabal a bhaineann le CA poiblí (Let's Encrypt, DigiCert, Sectigo) nó príobháideach fiontar (Active Directory CS, ADFS) ina chónaí i HSM deimhnithe.

Bainistíocht eochair chripteagrafach (KMS)

Tá ardáin scamall (AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM) ag cur HSManna comhroinnte nó tiomnaithe ar fáil chun bainistíocht a dhéanamh ar shaolré iomlán na gcnaipeanna: gineadh, rothlú, díorthaithe, stóráil, scriosadh.

Root TLS agus deimhnithe critúla freastalaí

Tá deimhniú TLS na mbonneagair chriticiúla (bealaí baincéireachta, síniú cód bogearraí, fréamhacha CA de mhonaróirí IoT) faoi chosaint ag HSM. Déanann an HSM deimhniú amach gan an eochair fréamhacha a nochtadh riamh fiú i gcás go bhfuil an freastalaí óstach faoi léas go hiomlán.

Cáilíochtaí HSM: cad atá le fios agat

Ní luach céanna atá ag gach deimhniú.Cinneann an leibhéal deimhniúcháin na rialacháin a bhfuil an úsáid as an HSM ina gceart dóibh (eIDAS QSCD, PCI-DSS HSM, conarthaí rúnda cosanta).

(NIST, Stáit Aontaithe Mheiriceá)

Leagtar síos i FIPS 140-2 (foilsithe i 2001, a tharraingíodh as an gcairtéal gníomhach i 2026) agus ina chomharba FIPS 140-3 (i bhfeidhm ó 2019, éigeantach do tháirgí nua ó 2024) 4 leibhéal slándála. Is é leibhéal 3 (scriosadh eochair má tá an t-enclave oscailte) an íosmhéid do PKI baincéireachta agus poiblí; tá leibhéal 4 (frithsheasmhacht i gcoinne ionsaithe cainéal cúnta agus athruithe ar an gcomhshaol) riachtanach le haghaidh roinnt úsáidí rúnda cosanta.

Ní bheidh feidhm ag an Rialachán seo maidir le hionstraimí a bhaineann le hionstraimí a chur ar fáil.

Is é Common Criteria an caighdeán idirnáisiúnta chun measúnú a dhéanamh ar shlándáil táirgí TF. Maidir le HSManna, éilítear an leibhéal Common Criteria EAL4+ leis an Próifíl Cosanta EN 419 221-5 ag Rialachán eIDAS do Thionad Cruthaithe Síntiús Ceaptha (QSCD).

ETSI EN 319 411 agus 319 412 (an Eoraip)

Leagann caighdeáin ETSI síos na ceanglais theicniúla atá le comhlíonadh ag soláthraí seirbhíse iontaobhais cáilithe (QTSP) de réir eIDAS , lena n-áirítear úsáid HSManna atá deimhnithe ag EN 419 221-5.

ANSSI (Frainc) agus BSI (An Ghearmáin)

Foilsíonn ANSSI Réamhrá Ginearálta Slándála (RGS) agus eisiúint cáilíochtaí Caighdeán agus Forbartha do tháirgí criptithe. Foilsíonn an BSI Gearmánach deimhnithe coibhéiseacha (CSPN, BSI-TR). Is féidir le rialtais phoiblí náisiúnta na cáilíochtaí náisiúnta seo a cheangal i dteannta na deimhnithe Eorpacha.

HSM vs TPM vs KMS bogearraí cén réiteach a roghnú?

Braitheann an rogha ceart ar luach na gcnaipe atá le cosaint, ar shrianta rialála agus ar bhuiséad.

MéidHSMTPMCláir chustaiméirí
CúnamhCinntí criptithe corparáideacha agus bonneagair (QES, PKI, KMS) a chosaint.Seil an tosaithe agus sainaithint an meaisín (BitLocker, deimhniú TPM 2.0)Ceantair a chothabháil agus a sheachaint
CláraitheI measc na n-earraí atá le húsáid sa chóras, tá an córas seo leagtha síos i mír 2 den Airteagal seo.Cúpla síniú in aghaidh na soicind dírithe ar úsáidí áitiúla tráthúla.Tá an t-athrú seo á dhéanamh ag an gcineál sonraí atá leagtha síos in Iarscríbhinn I.
Deimhniúcháin rialálaTá an t-earraí a úsáidtear chun an t-ábhar a athsholáthar ar fáil i dtáirgí eile.Common Criteria EAL4+ le haghaidh TPM 2.0 (Microsoft Pluto, Google Titan).Níl aon deimhniú feithicleach ann. ISO 27001 ó sholáthraí ar a laghad.
Foirm DhréachtúilBosca rack 1U-2U, cárta PCIe, eochair USB crua, nó gléas gréasáin tiomnaithe. Ó 8 000 € ar aghaidh.Bréagán fúsctha ar an mbomaiceard (TPM 2.0) nó fíorúil (vTPM). Roinnt euro in aghaidh an innill.Saor in aisce (HashiCorp Vault, OpenStack Barbican) nó SaaS (AWS KMS gan CloudHSM).
Gnáthchás úsáideSínithe cháilithe eIDAS, fréamh PKI, comhréir PCI-DSS, rún cosanta.Tosú slán, criptithe dhiosca áitiúil, fianaise Windows Hello.Criptithe feidhmchlárach, rúnda DevOps, teastais inmheánach neamhchriticiúil.
Costais iomlán an tseilbh8 000 € go 80 000 € in aghaidh an ghléis + cothabháil + iniúchadh. Inroinnte trí bhfiolar (€/uair).Costas imlíneach (cheana féin i láthair ar 99% de na PC gníomhaire tar éis 2016).Saor in aisce i bhfoinse oscailte; ~0,03 $/eochair/mhí i SaaS bhainistríochta (AWS KMS, Azure Key Vault).

Ceistneocha minic — HSM

Cad é an difríochtaí idir HSM agus TPM?
Is is breosla (Trusted Platform Module) ag socrú ar an mbomaiceard i bhformhór na ríomhairí gníomhaire nua-aimseartha — úsáidtear é chun an tosú a shéalú, an diosca a chriptiú (BitLocker) agus inneall a shainaithint go uathúil. Is gléas neamhspleách é HSM (Hardware Security Module) atá tiomanta do bhainistiú eochair chripteagrafaíocha fhiontar — úsáidtear é chun doiciméid a shíniú ag leibhéal cáilithe eIDAS, chun fréamh údaráis theastas a óstáil, nó chun eochracha criptithe bancaire a dhíon. Cosnaítear TPM roinnt euro in aghaidh an innill; cosnaítear HSM roinnt míle go deicheanna míle euro, agus níl ciall dó ach ar scála eagraíochta.
An bhfuil criptiú HSM i ndáiríre do-bhristhe?
Níl aon chosaint iomlán ann, ach is é criptiú HSM an leibhéal is airde cosanta crua-earraí atá ar fáil faoi láthair. Déanann HSM ceadúnaithe FIPS 140-3 leibhéal 3 nó Common Criteria EAL4+ freastal ar ionsaithe ar dhiúscairt chabhrach (anailís úsáide, éigeandálacha leictreamagnacha), ionsaithe ar bhac a dhíobhálú (cur isteach ar bholtáis nó teocht), agus cuireann siad scrios uathoibríoch na neochair i gcrích i gcás oscailt fhisiceach ar an bhosca (freagra tamper). Níl aon bhriseadh poiblí ar HSM atá i ngníomhú i gceart doiciméadaithe in timpeallacht táirgthe thar na 10 mbliana deireanach.
An gá HSM a cheannach chun sínithe leictreoinic cháilithe a úsáid?
Níl, ach amháin mura bhfuil tú i do sholáthróir seirbhísí muiníne. Chun sínithe i QES, bhíonn do eochracha príobháideacha óstáithe i HSM QTSP cháilithe (Universign, Certinomis, LuxTrust, agus a bpáirtnéirí cosúil le Certyneo) atá ar an Trusted List eIDAS Eorpach. Ní fhicfidh tú an HSM go díreach — idirghníomhú a dhéanann tú leis trí fhíorúchán láidir (cárta cliste nó QES Ciansamhail trí MFA + bitheolaíochta ó eIDAS 2.0).
Cad é an difríochtaí idir HSM agus KMS?
Is seirbhís bhogearraí í KMS (Key Management Service) a dhéanann ord a thabhairt ar an tsaolré chríoch-eochracha cripteagrafaíocha — giniúint, rothlú, carthanacht, iniúchadh. Is an chomhpháirt chrua-earraí atá ann HSM a dhéanann a dhéanann oibríochtaí cripteagrafaíocha go fisiceach ar na heochracha sin. Ní bhraisteoirí iad an dá cheann: baineann KMS tuilleanach ar HSM sa chúlra (AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM). Leor KMS a bhíonn go fisiceach bogearraí (gan HSM) do úsáidí inmheánach neamhchriticiúil ach ní thugann sé faoi úsáidí rialachais PCI-DSS, eIDAS QES nó HIPAA HSM.
Cad iad na príomhghréasán HSM i 2026?
Fhéadtar an margadh HSM a dhíriú ar chúig ghréasán: Thales (soláthraí céimhne Luna agus payShield, ceannródaí stairiúil), Utimaco (CryptoServer, soláthróir d'iliomad QTSP Eorpach), Atos Eviden (Trustway Proteccio, cáilíochtú ANSSI Treisithe), Marvell LiquidSecurity (HSM foluain don AWS agus Azure) agus Entrust nShield. Cuireann na hyperscalers a gcuid oibrithe féin ar fáil: AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM. Le haghaidh sínithe cháilithe eIDAS, is é an chritéir shochrach an teastais Common Criteria EAL4+ le Protection Profile EN 419 221-5.
An bhféadfaí HSM a léasú sa spéir seachas ceannach a dhéanamh?
Is féidir. Léasaíonn AWS CloudHSM, Azure Dedicated HSM agus Google Cloud HSM HSM tiomnaithe ceadúnaithe FIPS 140-2 leibhéal 3 (de ghnáth idir 1 agus 3 €/uair). Le haghaidh sínithe cháilithe eIDAS, ní leor na hoibrithe seo leo féin — ba bhreá duit QTSP cháilithe atá ag feidhmiú a HSM féin agus atá ar an Trusted List Eorpach. Is é an buntáiste ar HSM foluain an leacaireacht (gan CAPEX, gan cothabháil fhisiceach), ar chostas spleáchais ar hyperscaler go minic Meiriceánach (ábhar mothaithe maidir leis an Cloud Act agus an tréimhse dhigiteach Eorpach).
Conas a fhíorú go bhfuil soláthróir sínithe i ndáiríre ag úsáid HSM ceadúnaithe?
Ní mór don soláthróir a bheith ar an Trusted List eIDAS Eorpach (https://eidas.ec.europa.eu/) mar QTSP (Qualified Trust Service Provider). Ní thugtar an iontráil seo ach tar éis iniúchaidh ag orgán creidiúnaithe (LSTI/COFRAC san Fhrainc, TÜV san Ghearmáin) a fhíorann go háirithe comhréir an HSM in úsáid leis an gcaighdeáin EN 419 221-5 agus EN 419 241-2 (QES Cianda ó eIDAS 2.0). Ina dhiaidh sin, iarr ar an soláthróir an uimhir theastas Common Criteria a HSM — foilsítear uimhir ceart na soláthróir an theastas sa doiciméadúchán teicniúil aige.

Chun dul i bhfad

Altanna moltha

Ar dhóigh sínithe cháilithe ar ais HSM?

Tacaíonn Certyneo ar HSM ceadúnaithe Common Criteria EAL4+ ag feidhmiú ag QTSP cháilithe ar an Trusted List eIDAS Eorpach. QES ag 9,90 €/gníomh ó phlean Standard ar aghaidh.