
Daingniú do dhreachta sínithe le criptiriú TLS
Tá criptiriú TLS ina riachtanas anois chun do dhreachta sínithe go leictreonach a chosaint. Faigh amach na cleachtais is fearr chun do shreabhaí doiciméadúla a dhéanamh slán i gcomhréir le eIDAS.
Is feiste leictreonach neamh-thréigthe é HSM (Hardware Security Module, i bhFraincis modúl crua-earraí slándála) a ghineann, a stórálann agus a úsáideann eochair chripteagrafach gan iad a nochtadh go soiléir taobh amuigh den chiste. Is é an comhpháirt crua-earraí é a chuireann ar chumas sínithe leictreonacha cáilithe (QES) de réir rialacháin eIDAS, criptithe eochair phoiblí (PKI), fréamhshruth iontaoibh údaráis deimhniúcháin (CA), agus go forleathan aon oibríocht chripteagrafach a éilíonn ráthaíocht neamh-thréigthe fisiciúil agus loighciúil. Míníonn an treoir choimeasach seo cad é HSM, cad a úsáideann sé, conas a dheimhnítear é (FIPS 140-2, FIPS 140-3, Common Criteria EAL4), agus tá sé difriúil ó fhéachaint nó ó oibríocht ríomhaireachta.
Is bosca crua-earraí é HSM (rack 1U, cárta PCIe, USB key nó feiste líonra) a dhéanann oibríochtaí criptografacha (ghinearáil eochair, síntiús, criptithe, díghriptithe, hashing) taobh istigh de chlúdach fisiciúil faoi ghlas. Ní fhágann eochair phríobháideacha an HSM riamh: tugann aon iarracht aistarraingthe fisiciúil freagra láithreach (tamper response).
Go sonrach, seolann feidhmchlár atá ag iarraidh doiciméad a shíniú an comhdhéanamh (hash SHA-256) den doiciméad chuig an HSM trí API caighdeánaithe (PKCS#11, KMIP, CNG, JCE). Síníonn an HSM an hash le eochair phríobháideach a chónaíonn go heisiach ina chlúdach, agus ansin tugann sé ar ais an síniú. Tá an síniú agus an deimhniú poiblí comhfhreagrach ann ach fanann an eochair phríobháideach faoi chosaint go neamhshláintiúil. Is é seo a idirdíonn síniú cáilithe eIDAS (QES, le tacaíocht ó HSM le soláthraí cáilithe) ó shíniú cáilithe simplí (SES, gan aon stróideadh fisiceach) nó chun cinn (AES, eochair rialaithe ag an síniúóir).
Ní áis don phobal i gcoitinne é an HSM: éilítear é nuair a éilíonn rialachán, caighdeán nó conradh ráthaíocht ábhartha ar neamhthruailliúlacht na gcnaipeanna.
I gcás ina bhfuil an t-ábhar a bhfuil an t-ábhar a bhfuil an t-ábhar a bhfuil an t-ábhar a bhfuil an t-ábhar a bhfuil an t-ábhar a bhfuil an t-ábhar a bhfuil an t-ábhar a bhfuil an t-ábhar a bhfuil an t-ábhar a bhfuil an t-ábhar a bhfuil an t-ábhar a bhfuil an t-ábhar a bhfuil an t-ábhar a bhfuil an t-ábhar a bhfuil an t-ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an t-ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil an ábhar a bhfuil
Baineann na HSManna le príomhphrionsaí criptithe (Key Encryption Keys, KEK) a dhéanann na príomhphrionsaí criptithe do bhunachar sonraí, do dhoscaí (BitLocker, LUKS) nó do chúltacaí a chriptiú.
Ba chóir go mbeadh an príomhphrionsabal a bhaineann le CA poiblí (Let's Encrypt, DigiCert, Sectigo) nó príobháideach fiontar (Active Directory CS, ADFS) ina chónaí i HSM deimhnithe.
Tá ardáin scamall (AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM) ag cur HSManna comhroinnte nó tiomnaithe ar fáil chun bainistíocht a dhéanamh ar shaolré iomlán na gcnaipeanna: gineadh, rothlú, díorthaithe, stóráil, scriosadh.
Tá deimhniú TLS na mbonneagair chriticiúla (bealaí baincéireachta, síniú cód bogearraí, fréamhacha CA de mhonaróirí IoT) faoi chosaint ag HSM. Déanann an HSM deimhniú amach gan an eochair fréamhacha a nochtadh riamh fiú i gcás go bhfuil an freastalaí óstach faoi léas go hiomlán.
Ní luach céanna atá ag gach deimhniú.Cinneann an leibhéal deimhniúcháin na rialacháin a bhfuil an úsáid as an HSM ina gceart dóibh (eIDAS QSCD, PCI-DSS HSM, conarthaí rúnda cosanta).
Leagtar síos i FIPS 140-2 (foilsithe i 2001, a tharraingíodh as an gcairtéal gníomhach i 2026) agus ina chomharba FIPS 140-3 (i bhfeidhm ó 2019, éigeantach do tháirgí nua ó 2024) 4 leibhéal slándála. Is é leibhéal 3 (scriosadh eochair má tá an t-enclave oscailte) an íosmhéid do PKI baincéireachta agus poiblí; tá leibhéal 4 (frithsheasmhacht i gcoinne ionsaithe cainéal cúnta agus athruithe ar an gcomhshaol) riachtanach le haghaidh roinnt úsáidí rúnda cosanta.
Is é Common Criteria an caighdeán idirnáisiúnta chun measúnú a dhéanamh ar shlándáil táirgí TF. Maidir le HSManna, éilítear an leibhéal Common Criteria EAL4+ leis an Próifíl Cosanta EN 419 221-5 ag Rialachán eIDAS do Thionad Cruthaithe Síntiús Ceaptha (QSCD).
Leagann caighdeáin ETSI síos na ceanglais theicniúla atá le comhlíonadh ag soláthraí seirbhíse iontaobhais cáilithe (QTSP) de réir eIDAS , lena n-áirítear úsáid HSManna atá deimhnithe ag EN 419 221-5.
Foilsíonn ANSSI Réamhrá Ginearálta Slándála (RGS) agus eisiúint cáilíochtaí Caighdeán agus Forbartha do tháirgí criptithe. Foilsíonn an BSI Gearmánach deimhnithe coibhéiseacha (CSPN, BSI-TR). Is féidir le rialtais phoiblí náisiúnta na cáilíochtaí náisiúnta seo a cheangal i dteannta na deimhnithe Eorpacha.
Braitheann an rogha ceart ar luach na gcnaipe atá le cosaint, ar shrianta rialála agus ar bhuiséad.
| Méid | HSM | TPM | Cláir chustaiméirí |
|---|---|---|---|
| Cúnamh | Cinntí criptithe corparáideacha agus bonneagair (QES, PKI, KMS) a chosaint. | Seil an tosaithe agus sainaithint an meaisín (BitLocker, deimhniú TPM 2.0) | Ceantair a chothabháil agus a sheachaint |
| Cláraithe | I measc na n-earraí atá le húsáid sa chóras, tá an córas seo leagtha síos i mír 2 den Airteagal seo. | Cúpla síniú in aghaidh na soicind dírithe ar úsáidí áitiúla tráthúla. | Tá an t-athrú seo á dhéanamh ag an gcineál sonraí atá leagtha síos in Iarscríbhinn I. |
| Deimhniúcháin rialála | Tá an t-earraí a úsáidtear chun an t-ábhar a athsholáthar ar fáil i dtáirgí eile. | Common Criteria EAL4+ le haghaidh TPM 2.0 (Microsoft Pluto, Google Titan). | Níl aon deimhniú feithicleach ann. ISO 27001 ó sholáthraí ar a laghad. |
| Foirm Dhréachtúil | Bosca rack 1U-2U, cárta PCIe, eochair USB crua, nó gléas gréasáin tiomnaithe. Ó 8 000 € ar aghaidh. | Bréagán fúsctha ar an mbomaiceard (TPM 2.0) nó fíorúil (vTPM). Roinnt euro in aghaidh an innill. | Saor in aisce (HashiCorp Vault, OpenStack Barbican) nó SaaS (AWS KMS gan CloudHSM). |
| Gnáthchás úsáide | Sínithe cháilithe eIDAS, fréamh PKI, comhréir PCI-DSS, rún cosanta. | Tosú slán, criptithe dhiosca áitiúil, fianaise Windows Hello. | Criptithe feidhmchlárach, rúnda DevOps, teastais inmheánach neamhchriticiúil. |
| Costais iomlán an tseilbh | 8 000 € go 80 000 € in aghaidh an ghléis + cothabháil + iniúchadh. Inroinnte trí bhfiolar (€/uair). | Costas imlíneach (cheana féin i láthair ar 99% de na PC gníomhaire tar éis 2016). | Saor in aisce i bhfoinse oscailte; ~0,03 $/eochair/mhí i SaaS bhainistríochta (AWS KMS, Azure Key Vault). |

Tá criptiriú TLS ina riachtanas anois chun do dhreachta sínithe go leictreonach a chosaint. Faigh amach na cleachtais is fearr chun do shreabhaí doiciméadúla a dhéanamh slán i gcomhréir le eIDAS.

Is é criptiú deireadh-go-deireadh an bhunpílar teicneolaíochta do rúndacht doiciméad a shínithe go leictreonach. Dá thuigfeá a oibriú, bhainfeá máistir ar shábháilteacht do malartuithe conarthacha.
HSM agus TPM ná dhá theicneolaíocht slándála crua-earraí atá misteach go minic, ach a bhíonn ról an-bhreise acu. Faigh amach conas an modúl ceart a roghnú de réir do riachtanas.
Is é criptiú HSM an bonn dofhéachta de gach síniú leictreonach cáilithe. A thuiscint ar a fheidhmiú is ea an rialú a bhaint ar an tsábháilteacht chripteagrafach de do fhiontar.
Tacaíonn Certyneo ar HSM ceadúnaithe Common Criteria EAL4+ ag feidhmiú ag QTSP cháilithe ar an Trusted List eIDAS Eorpach. QES ag 9,90 €/gníomh ó phlean Standard ar aghaidh.
Úsáidimid fianáin chun do thaithí ar ár suíomh a fheabhsú. Bíonn fianáin atá riachtanach go hiomlán don tseirbhís i gceist i gcónaí gníomhach. Faigh tuilleadh eolais