- ¿Cal é a diferenza entre un HSM e un TPM?
- Un TPM (Trusted Platform Module) é un chip soldado na placa-nai de case todos os ordenadores profesionais modernos — serve para peclar o arranque, encriptar o disco (BitLocker) e identificar unha máquina de xeito único. Un HSM (Hardware Security Module) é unha caixa autónoma dedicada á xestión de chaves criptográficas de empresa — serve para asiñar documentos a nivel cualificado eIDAS, para albergar a raíz dun organismo de certificación, ou para protexer chaves de encriptación bancaria. Un TPM custa alguns euros por máquina; un HSM custa varios millares a decenas de millares de euros, e só ten sentido á escala dunha organización.
- ¿É verdadeiramente inviolable a encriptación HSM?
- Ningunha protección é absoluta, pero a encriptación HSM é hoxe o nivel máis alto de protección de hardware dispoñible. Os HSM certificados FIPS 140-3 nivel 3 ou Common Criteria EAL4+ resisten a ataques por canal auxiliar (análise de consumo, emanacións electromagnéticas), a ataques por fault injection (perturbacións de tensión ou temperatura) e desencadean un borrado automático das chaves en caso de apertura física da caixa (tamper response). Ninguén compromiso público dun HSM correctamente operado foi documentado en ambiente de produción nos últimos 10 anos.
- ¿É preciso mercar un HSM para usar a sinatura electrónica cualificada?
- Non, salvo se vós mesmos sodes prestador de servizos de confianza. Para firmar en QES, as túas chaves privadas están albergadas no HSM dun QTSP cualificado (Universign, Certinomis, LuxTrust, e os seus socios como Certyneo) que figura na Trusted List eIDAS europea. Nunca ves o HSM directamente — interaccionas con el mediante autenticación forte (tarxeta inteligente ou Remote QES vía MFA + biometría dende eIDAS 2.0).
- ¿Cal é a diferenza entre HSM e KMS?
- Un KMS (Key Management Service) é un servizo software que orquestra o ciclo de vida das chaves criptográficas — xeración, rotación, arquivo, auditoría. Un HSM é o compoñente de hardware que executa fisicamente as operacións criptográficas sobre estas chaves. Os dous non son competidores: un KMS serio apoiase nun HSM en segundo plano (AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM). Un KMS puramente software (sen HSM) é suficiente para usos internos non críticos pero non cobre as esixencias regulatorias PCI-DSS, eIDAS QES ou HIPAA HSM.
- ¿Cales son os principais fabricantes de HSM en 2026?
- O mercado HSM está dominado por cinco fabricantes: Thales (gamas Luna e payShield, líder histórico), Utimaco (CryptoServer, provedor de moitos QTSP europeos), Atos Eviden (Trustway Proteccio, cualificación ANSSI Reforzada), Marvell LiquidSecurity (HSM nativo en nube para AWS e Azure) e Entrust nShield. Os hipérscalos ofrecen as súas propias ofertas compartidas: AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM. Para a sinatura cualificada eIDAS, o criterio decisivo é a certificación Common Criteria EAL4+ co Perfil de Protección EN 419 221-5.
- ¿Pódese aluguer un HSM na nube en lugar de mercalo?
- Si. AWS CloudHSM, Azure Dedicated HSM e Google Cloud HSM aluguen HSM dedicados certificados FIPS 140-2 nivel 3 (tipicamente entre 1 e 3 €/hora). Para a sinatura cualificada eIDAS, estas ofertas non son suficientes por si mesmas — é preciso un QTSP cualificado que opere o seu propio HSM e figure na Trusted List europea. A vantaxe do HSM en nube é a elasticidade (sen CAPEX, sen mantenimento físico), ao prezo dunha dependencia a un hipérscala a miúdo estadounidense (tema sensible respecto ao Cloud Act e á soberanía dixital europea).
- ¿Como verificar que un prestador de sinatura usa verdadeiramente un HSM certificado?
- O prestador debe figurar na Trusted List eIDAS europea (https://eidas.ec.europa.eu/) como QTSP (Qualified Trust Service Provider). Esta inscrición só se outorga despois dun auditoría por un organismo acreditado (en Francia LSTI/COFRAC, en Alemaña TÜV) que verifica en particular a conformidade do HSM usado ás normas EN 419 221-5 e EN 419 241-2 (Remote QES dende eIDAS 2.0). Como complemento, pide ao prestador o número de certificación Common Criteria dos seus HSM — un QTSP serio publícao na súa documentación técnica.