HSM vs TPM : koja razlika i koji odabrati ?

Uvod : dva modula, dvije filozofije sigurnosti

U domeni primijenjene kriptografije i zaštite digitalnih ključeva, dvije tehnologije se sustavno vraćaju u raspravama IT direktora i RSSI specijalistima : HSM (Hardware Security Module) i TPM (Trusted Platform Module). Ova dva hardverska uređaja dijele zajedničku svrhu — zaštititi osjetljive kriptografske operacije — no njihova arhitektura, slučajevi primjene i razina certifikacije fundamentalno se razlikuju. Zbunjivanje ta dva može dovesti do neadekvatnih izbora infrastrukture, pa čak i do nedostataka u suglasnosti sa propisima. Ovaj članak daje vam ključeve za razumijevanje razlike HSM vs TPM, identificiranje kada koristiti jedan ili drugi, i donošenje najbolje odluke za vašu organizaciju u 2026.

---

Što je HSM (Hardware Security Module) ?

Hardware Security Module je dedicirani hardverski uređaj, posebno dizajniran za generiranje, pohranu i upravljanje kriptografskim ključevima u okruženju koje je fizički i logički zaštićeno. Radi se o autonomnoj komponenti — često u obliku PCIe kartice, mrežnog uređaja ili cloud usluge (HSM as a Service) — čija je glavna funkcija izvršavanje kriptografskih operacija visoke performanse bez ikada izlaganja ključeva u čistom obliku izvan modula.

Tehničke karakteristike HSM-a

HSM moduli su certificirani prema strogim međunarodnim standardima, posebno FIPS 140-2 / FIPS 140-3 (nivoi 2, 3 ili 4) objavljeni od strane NIST-a, i Common Criteria EAL4+ prema normi ISO/IEC 15408. Ove certifikacije uključuju mehanizme za otpornost na fizičke napade (tamper-resistance), detektore upada i automatsku uništavanje ključeva u slučaju pokušaja kompromitacije.

Tipičan HSM nudi :

• Visok kapacitet obrade : do nekoliko tisuća RSA ili ECDSA operacija po sekundi
• Multi-tenancy : upravljanje stotinama nezavisnih kriptografskih particija
• Standardizirana sučelja : PKCS#11, Microsoft CNG, JCA/JCE, OpenSSL engine
• Potpuni audit trail : nemjenjiva evidencija svake operacije

Tipični slučajevi korištenja HSM-a

HSM je središte kvalificirane elektroničke potpise prema regulativi eIDAS, gdje privatni ključ potpisnika mora biti generiran i pohranjen u kvalificirani uređaj za stvaranje potpisa (QSCD). Također opremaju i certifikat autoritetima (CA/PKI), sustave plaćanja (HSM protokola PCI-DSS), infrastrukture šifriranja baza podataka, i okruženja potpisivanja koda.

Kvalificirana elektronička potpisna u poduzeću gotovo se sustavno oslanja na HSM certificiran kao QSCD kako bi se osigurala maksimalna pravna vrijednost potpisa.

---

Što je TPM (Trusted Platform Module) ?

Trusted Platform Module je sigurnosni čip integriran direktno na matičnu ploču računala, poslužitelja ili povezanog uređaja. Standardiziran od strane Trusted Computing Group (TCG), čija specifikacija TPM 2.0 je također normalizirana kao ISO/IEC 11889:2015, TPM je dizajniran za zaštitu same platforme umjesto da služi kao centralizirana kriptografska usluga zajednička više korisnika.

Arhitektura i funkcioniranje TPM-a

Za razliku od HSM-a, TPM je komponenta namjena jednog uređaja, vezana na preciznu hardversku opremu. Ne može biti premještena ili dijeljena između više strojeva. Njegove glavne funkcije uključuju :

• Mjerenje integriteta pokretanja (Secure Boot, Measured Boot) preko Platform Configuration Registers (PCR)
• Pohrana ključeva vezana uz platformu : ključevi generirani od strane TPM-a mogu biti korišteni samo na stroju koji ih je kreirao
• Generiranje nasumičnih kriptografskih brojeva (RNG)
• Udaljeno posvjedočivanje : dokazivanje udaljenom poslužitelju da je platforma u poznatom stanju povjerenja
• Šifriranje volumena : BitLocker na Windows-u, dm-crypt s TPM-om na Linux-u direktno se oslanjaju na TPM

Ograničenja TPM-a za naprednu poslovnu upotrebu

TPM 2.0 je certificiran na razini FIPS 140-2 nivo 1 u najboljem slučaju, što je znatno inferiorno certifikacijama FIPS 140-3 nivo 3 profesionalnih HSM modula. Njegov kapacitet kriptografske obrade je ograničen (nekoliko desetaka operacija po sekundi), i ne podržava nativno sučelja PKCS#11 ili CNG na način kao što to čini dedicirani HSM. Za naprednu ili kvalificiranu elektroničku potpisnu, sam TPM je općenito nedovoljan u odnosu na zahtjeve eIDAS aneks II vezane na QSCD.

---

Temeljne razlike HSM vs TPM : usporedna tablica

Razumijevanje razlike HSM vs TPM Trusted Platform Module temelji se na strukturiranoj usporedbi odlučujućih kriterija za poduzeće.

Razina certifikacije i jamstva sigurnosti

| Kriterij | HSM | TPM | |---|---|---| | FIPS certifikacija | 140-3 nivo 2 do 4 | 140-2 nivo 1 | | Common Criteria | EAL4+ do EAL7 | EAL4 | | Kvalifikacija eIDAS QSCD | Da (npr. : Thales Luna, Utimaco) | Ne | | Napredna zaštita od fizičkog napada | Da (auto-uništavanje) | Osnovna |

Kapacitet, skalabilnost i integracija

HSM moduli su uređaji multi-korisnika i multi-aplikacija : jedan mrežni uređaj može simultano služiti stotinama klijentima, aplikacija i uslugama preko PKCS#11 ili REST API. Integriraju se u arhitekture visoke dostupnosti (clusters aktivno-aktivno) i podržavaju industrijske kriptografske debite.

TPM, s druge strane, je mono-stroj i mono-tenant prema dizajnu. Izvanredan je u zaštiti radne stanice, zaštiti Windows Hello for Business vjerodajnica, i integritetu firmvera. Za operacije elektroničke potpise u dokumentarnim workflow-ima, TPM ne može igrati ulogu dijeljene kriptografske usluge.

Cijena i implementacija

Mrežni HSM na razini poduzeća (Thales Luna Network HSM, Utimaco SecurityServer, AWS CloudHSM) predstavlja investiciju od 15 000 € do 80 000 € za on-premise hardver, ili između 1,50 € i 3,00 € po satu u upravljanom cloud modu prema dobavljačima. TPM, s druge strane, integriran je bez dodatne cijene u gotovo sve poslovne PC-e, poslužitelje i ugrađene sustave od 2014 (obvezan za Windows 11 od 2021).

---

Kada koristiti HSM, kada koristiti TPM u poduzeću ?

Odgovor na ovo pitanje ovisi o vašem operativnom kontekstu, regulatornim obvezama i arhitekturi vašeg informacijskog sustava.

Odaberite HSM za :

• Implementaciju internog PKI : ključevi vašeg certifikat autoritetnog moraju biti pohranjena u certificiranom HSM-u kako bi se dobila povjerenja pretraživača (CA/Browser Forum Baseline Requirements)
• Emisija kvalificiranih elektroničkih potpisa : u skladu s aneksom II regulacije eIDAS br. 910/2014, QSCD-ovi moraju biti certificirani prema standardima ekvivalentnim EAL4+ minimum ; usporedba rješenja za elektroničke potpise detaljno objašnjava ove zahtjeve
• Zaštita financijskih transakcija visokog volumena : standardi PCI-DSS v4.0 (odjeljak 3.6) nameću zaštitu ključeva šifriranja podataka kartice u HSM-ima
• Šifriranje baza podataka ili cloud-a : AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM omogućuju zadržavanje kontrole nad ključevima (BYOK / HYOK)
• Potpisivanje koda i integritet CI/CD gradnji : potpisivanje softverskih artefakata za sigurnu lanac opskrbe zahtijeva HSM kako bi se spriječio krađa ključeva

Odaberite TPM za :

• Zaštita pokretanja radnih stanica i poslužitelja : Secure Boot + Measured Boot + daljinsko posvjedočivanje preko TPM 2.0 predstavlja temelj Zero Trust na krajnjoj točki
• Šifriranje cijelog diska : BitLocker sa TPM-om štiti podatke u mirovanju bez ovisnosti o vanjskoj usluzi
• Hardverska autentifikacija radnih stanica : Windows Hello for Business koristi TPM za pohranu privatnih ključeva autentifikacije bez mogućnosti ekstrakcije
• Suglasnost NIS2 na sigurnost krajnjih točaka : direktiva NIS2 (UE 2022/2555), transponirana u francusko pravo zakonom od 13. lipnja 2024, nameće razmjerne tehničke mjere za sigurnost informacijskih sustava ; TPM direktno doprinosi sigurnosti materijalnih sredstava
• Industrijalni IoT projekti : TPM-ovi ugrađeni u automate i SCADA sustave omogućuju daljinsko posvjedočivanje bez dozvoljene HSM infrastrukture

Hibridne arhitekture HSM + TPM

U velikim organizacijama, HSM i TPM se ne suprotstavljaju : međusobno se nadopunjuju. Poslužitelj opremljen TPM 2.0 može posvjedočiti svoju integrnost centralnoj usluzi upravljanja, dok se poslovna kriptografska operacija (potpis, šifriranje aplikacijskih podataka) delegira klasteri mrežnog HSM-a. Ova arhitektura preporučuje se od ANSSI u vodičima o upravljanju rizicima vezanim uz davatelje usluga povjerenja (PSCE). Konzultiranje rječnika elektroničke potpise može pomoći tehničkim timovima u harmonizaciji terminologije pri definiranju ove arhitekture.

Pravni i normativan okvir primjenjiv na HSM i TPM

Izbor između HSM i TPM direktno utječe na suglasnost vaše organizacije s nekoliko europskih i međunarodnih regulatornih referenca.

Regulacija eIDAS br. 910/2014 i eIDAS 2.0 (regulacija UE 2024/1183)

Članak 29 regulacije eIDAS nameće da elektronički potpisi bude kreirani korištenjem Qualified Signature Creation Device (QSCD), definirano u aneksu II. Ovi uređaji moraju osigurati povjerljivost privatnog ključa, njegovu jedinstvenost i nepovredljivost. Popis priznatih QSCD-ova objavljuju nacionalni akreditacijski organi (u Francuskoj : ANSSI). HSM moduli certificirani kao FIPS 140-3 nivo 3 ili Common Criteria EAL4+ figuriraju na tim popisima ; TPM-ovi ne figuriraju. Davatelj usluge kao Certyneo oslanja se na kvalificirane HSM-e kako bi osigurao maksimalnu dokaznu vrijednost izdanih potpisa.

Francouzski građanski zakon, članci 1366 i 1367

Članak 1366 priznaje pravnu vrijednost elektroničkog spisa « pod uvjetom da osoba od koje dolazi može biti pravilno identificirana i da je établi i čuvan u uvjetima koji osiguravaju njegov integritet ». Članak 1367 pojašnjava uvjete pouzdane elektroničke potpise, implicitno oslanjajući se na eIDAS zahtjeve za kvalificirane potpise.

GDPR br. 2016/679, članci 25 i 32

Princip privacy by design (članak 25) i obaveza prikladnih tehničkih mjera (članak 32) nameću zaštitu kriptografskih ključeva korištenih za šifriranje osobnih podataka. Korištenje certificiranog HSM-a predstavlja mjeru razine stanja tehnike (état de l'art prema razmatranju 83 GDPR-a) kako bi se dokazala suglasnost tijekom kontrole CNIL-a.

Direktiva NIS2 (UE 2022/2555), transponirana u Francusku

Direktiva NIS2, primjenjiva na esencijalne i važne subjekte od listopada 2024, nameće u članku 21 mjere upravljanja rizicima uključujući sigurnost lanaca opskrbe softvera i šifriranje. HSM moduli direktno odgovaraju tim zahtjevima za kritične operacije, dok TPM-ovi doprinose sigurnosti krajnjih točaka.

ETSI standardi

Standard ETSI EN 319 401 (opći zahtjevi za davatelje usluga povjerenja) i ETSI EN 319 411-1/2 (zahtjevi za CA-e koji izdaju kvalificirane certifikate) nameću pohranu CA ključeva u certificiranim HSM-ima. Standard ETSI EN 319 132 (XAdES) i ETSI EN 319 122 (CAdES) definiraju formate potpisa koji pretpostavljaju korištenje certificiranih sigurnih modula.

Preporuke ANSSI

ANSSI objavljuje referentnu vrijednost RGS (Référentiel Général de Sécurité) i njene vodiče o HSM-ima, preporučujući korištenje certificiranih modula za svaku osjetljivu PKI infrastrukturu u javnim organizacijama i OIV/OSE-ovima. Nepoštivanje tih preporuka može predstavljati kršenje NIS2 obveza za relevantne subjekte.

Scenariji uporabe : HSM ili TPM prema kontekstu

Scenario 1 : družba za upravljanje financijskim sredstvima sa internim PKI-om

Società za upravljanje što upravlja više milijardi eura imovine pod upravom trebam elektronički potpisati regulatornu dokumentaciju (AIFMD, MiFID II) i ugovorima o investiranju s kvalificiranom pravnom vrijednosti. Implementira interni PKI čiji su root (Root CA) i srednji (Issuing CA) ključevi zaštićeni u dva mrežna HSM modula u grupi visoke dostupnosti, certificirana kao FIPS 140-3 nivo 3. Kvalificirani certifikati se izdaju na HSM-ima partnera sukladnim eIDAS QSCD. Rezultat : 100 % potpisa ima kvalificiranu vrijednost, kontrole regulatora AMF potvrđuju suglasnost, i vrijeme potpisivanja investicijskih dokumenata se smanjuje s 4 dana na manje od 2 sata. Cijena HSM infrastrukture se amortizira u manje od 18 mjeseci u odnosu na potencijalne troškove nesuglasnosti.

Scenario 2 : mala industrijska tvrtka s 150 zaposlenih koji sigurnoj svoju radnu stanicu

Mala tvrtka u sektoru zrakoplovne proizvodnje, dobavljač drugog ranga podložan CMMC (Cybersecurity Maturity Model Certification) zahtjevima i NIS2 preporukama, trebam sigurnu 150 Windows radnih stanica od krađe osjetljivih tehničkih podataka. IT sigurnosni stručnjak implementira BitLocker sa TPM 2.0 na čitavoj floti, spojen s Windows Hello for Business za autentifikaciju bez lozinke. Daljinsko posvjedočivanje preko TPM integrira se u MDM rješenje (Microsoft Intune). Nikakav HSM nije potreban u tom kontekstu : ugrađeni TPM-ovi u Dell i HP računalima su dovoljni. Rezultat : rizik od curenja podataka nakon fizičke krađe laptopa sveden je na gotovo nulu, i sigurnosni rezultat zrelosti poduzeća napreduje 40 % prema CMMC samoocjeni. Dodatna cijena : 0 € (TPM već integriran u strojeve).

Scenario 3 : operator SaaS platforme za elektroničke potpise multi-klijent

Operator SaaS koji pruža elektroničke usluge potpisa stotinama poslovnih klijentima trebam osigurati kriptografsku izolaciju između klijentima i eIDAS kvalifikaciju svoje usluge. Implementira arhitekturu temeljenu na HSM-ima u modu cloud na pojedi (AWS CloudHSM ili Thales DPoD), s jednom HSM particijom po velikom korisničkog sustava i dijeljenom bazenima za standardnih klijente. Svaki klijent ima koristi od izoliranih ključeva u svojoj particiji, neovisno revidirani. TPM-ovi opremaju aplikacijske poslužitelje za posvjedočivanje platformske integritete tijekom eIDAS certifikacijskih revizija (QTSP). Rezultat : operator dobiva kvalifikaciju QTSP od ANSSI, omogućavajući emisiju kvalificiranih potpisa. HSM as a Service model smanjuje capex infrastrukture 60 % u odnosu na on-premise rješenja, prema usporedivim sektorskim benchmark-ima.

Zaključak

Razlika između HSM i TPM je temeljita : HSM je dijeljenja kriptografska usluga, visokih performansi i multi-aplikacijska, neophodna za PKI, kvalificirane eIDAS potpise i PCI-DSS ili NIS2 suglasnost na velike ljestvice. TPM je komponenta povjerenja vezana na specifičnu hardversku platformu, idealna za zaštitu krajnjih točaka, siguran pokretanja i lokalnu autentifikaciju. U većini zrelih poslovnih arhitektura 2026, dva koegzistiraju s komplementarnim i nenadoknadivim ulogama.

Ako vaša organizacija traži implementaciju kvalificirane rješenje elektroničke potpise temeljene na certificiranoj HSM infrastrukturi, bez upravljanja unutarnjom tehnikom kompleksnosti, Certyneo vam nudi turnkey SaaS platformu, sukladnu eIDAS i GDPR. Odkrijte cijene Certyneo ili kontaktirajte naše eksperte za reviziju vaših kriptografskih potreba.