
Zaštitite svoje potpisane dokumente šifrovanjem TLS
Šifrovanje TLS postalo je neizbježno za zaštitu vaših elektronički potpisanih dokumenata. Odkrijte najbolje prakse za zaštitu svojih dokumentarnih tokova u skladu s eIDAS-om.
HSM (Hardware Security Module, na hrvatskom modul matrijalne sigurnosti) je elektronički uređaj nepremagiv koji generira, pohranjuje i koristi kriptografske ključeve nikad ih ne izlaže izvan kutije u jasnom obliku. To je hardverska komponenta koja čini mogućom kvalificiranu elektroničku signaturu (QES) prema eIDAS uredbi, enkriptiranje s javnim ključem (PKI), korijen povjerenja certifikacijske vlasti (CA), i šire sve kriptografske operacije koje zahtijevaju jamstvo fizičke i logičke neprekidnosti. Ovaj vodič objašnjava što je HSM, čemu služi, kako je certificiran (FIPS 140-2, FIPS 140-3, Common Criteria EAL4+), i kako se razlikuje od TPM ili čisto softverskog KMS.
HSM je hardverski razvodnik (rack 1U, PCIe kartica, ojačana USB ključ ili mrežna appliance) koji izvršava kriptografske operacije (generiranje ključeva, potpisivanje, enkriptiranje, dekriptiranje, heširanje) unutar zapečaćene fizičke envelopе. Privatni ključevi nikad ne napuštaju HSM: bilo koji pokušaj ekstraktcije fizički okidačuje trenutno brisanje (odgovor na smetnje). Razvodnik je konstruiran da otpara napade kroz pomoćne kanale (analiza potrošnje električne energije, elektromagnetska ispuštanja, perturbacije napona), napade kroz vraćanje bita (fault injection) i promatranje elektronskim mikroskopom.
Konkretno, aplikacija koja želi potpisati dokument šalje HSM-u kondenzat (hash SHA-256) dokumenta preko standardiziranog API-ja (PKCS#11, KMIP, CNG, JCE). HSM potpisuje heš s privatnim ključem koji se nalazi isključivo u njegovoj envelopi, zatim vraća signativu. Potpisani dokument sadrži signaturu i odgovarajući javni certifikat — ali privatni ključ ostaje neprekidno zaštićen. To je ono što razlikuje kvalificiranu signaturu eIDAS (QES, koju podupire HSM kod kvalificiranog pružatelja) od jednostavne signature (SES, bez matrijalne ograničenja) ili napredne (AES, s ključem kontroliranim od strane potpisnika).
HSM nije masovna roba: potreban je čim regula, norma ili ugovor zahtijevaju matrijalno jamstvo cjelovitosti ključeva.
Europska uredba eIDAS (EU 910/2014) zahtijeva da kvalificirana signatura bude generirana certificiranim uređajem za stvaranje kvalificirane signature (QSCD) — praktički, HSM certifikovan EN 419 221-5 ili Common Criteria EAL4+. To je HSM kvalificiranog pružatelja servisa povjerenja (QTSP) koji hostira privatni ključ potpisnika i izvršava signaturu.
HSM-i upravljaju glavnim ključevima (Key Encryption Keys, KEK) koji enkriptiraju ključeve enkriptiranja baza podataka, diskova (BitLocker, LUKS) ili sigurnosnih kopija. Tipični slučaj: sukladnost PCI-DSS za procesore plaćanja, HIPAA / HDS za zdravstvene podatke, tajnost obrane za administracije.
Svaka certifikacijska vlast (CA) — korijen, međusmjer ili izdavač — koristi HSM za generiranje i korištenje ključa koji potpisuje X.509 certifikate. Korijen ključa javne CA (Let's Encrypt, DigiCert, Sectigo) ili privatne CA poduzeća (Active Directory CS, ADFS) mora boraviti u certificiranom HSM.
Cloud platforme (AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM) izlažu mutualizirane ili posvećene HSM za upravljanje cijelog životnog ciklusa ključeva: generiranje, rotacija, derivacija, arhiviranje, uništavanja. Prednost u odnosu na čisto softverski KMS: dokaz cjelovitosti koji se može suprotstaviti regulatorima i revizorima.
TLS certifikati kritične infrastrukture (bankarske pristupne prostore, signatura softverskog koda, korijen CA konstruktora IoT) zaštićeni su HSM. HSM potpisuje izlazne certifikate bez da ikad izlaže korijen ključ — čak i u slučaju potpune kompromitacije domaćeg servera.
Sve certifikacije nemaju istu vrijednost. Razina certifikacije određuje regulacije za koje upotreba HSM-a dopušta pristup (eIDAS QSCD, PCI-DSS HSM, ugovori tajnosti obrane).
FIPS 140-2 (objavljen 2001., povučen iz aktivnog kataloga 2026.) i njegov nasljedni FIPS 140-3 (u primjeni od 2019., obavezan za nove proizvode od 2024.) definira 4 razine sigurnosti. Razina 3 (ključevi izbrisani ako se envelopa otvori) je minimum za bankarsku i javnu PKI; razina 4 (otpornost na napade pomoćnog kanala i varijacije okoline) zahtijeva se za određene namjene tajnosti obrane.
Common Criteria je međunarodni standard za procjenu sigurnosti IT proizvoda. Za HSM-e, razina Common Criteria EAL4+ sa zaštitnim profilom EN 419 221-5 zahtijeva se prema eIDAS uredbi za uređaje za stvaranje kvalificirane signature (QSCD). To je ono što koriste europski kvalificirani pružatelji servisa povjerenja (QTSP).
Norme ETSI određuju tehničke zahtjeve koje mora zadovoljiti kvalificirani pružatelj servisa povjerenja (QTSP) prema eIDAS — uključujući upotrebu HSM certificiranih EN 419 221-5. QTSP navedeni na europskoj Trusted Listi (eIDAS TL) bio je revidiovan s obzirom na te norme od strane akreditiranog tijela (u Francuskoj: LSTI, COFRAC).
ANSSI objavljuje Opću sigurnosnu referencu (RGS) i dodjeljuje kvalifikacije "Standard" i "Pojačana" za kriptografske proizvode. Njemačka BSI objavljuje ekvivalentne certifikate (CSPN, BSI-TR). Nacionalne javne administracije mogu zahtijevati te nacionalne kvalifikacije povrh europskih certifikacija.
Pravi izbor ovisi o vrijednosti ključeva koji trebaju zaštitu, regulatornim ograničenjima i budžetu. Evo šest dimenzija koje usmjeravaju odluku.
| Dimenzija | HSM | PMP | Softverski KMS |
|---|---|---|---|
| Svrha | Zaštita kriptografskih ključeva poduzeća i infrastrukture (QES, PKI, KMS). | Zapečati pokretanje i identificirati stroj (BitLocker, TPM 2.0 atestacija). Jedan ključ po stroju. | Centralizira se životni ciklus ključeva u memoriji/disku, bez materijalne izolacije. |
| Kriptografska propusnost | Nekoliko tisuća RSA-2048 signatura po sekundi (visokog razreda modeli: 25 000+ sig/s). | Nekoliko signatura po sekundi — usmjereno na lokalne povremene primjene. | Ograničeno CPU domaćinom (često < 1000 sig/s za RSA-2048). |
| Regulatorne certifikacije | U skladu s člankom 3. stavkom 1. točkom (a) ovog članka, za sve proizvode koji sadrže i koji sadrže: | Common Criteria EAL4+ za TPM 2.0 (Microsoft Pluton, Google Titan). Nedovoljna za QES eIDAS. | Nema materijalne certifikacije. ISO 27001 dobavljača u najboljem slučaju. |
| Materijalni oblik | Rack 1U-2U razvodnik, PCIe kartica, ojačana USB ključ ili mrežna appliance. Počevši od 8 000 €. | Čip zalemljen na matičnu ploču (TPM 2.0) ili virtualiziran (vTPM). Nekoliko eura po računalu. | Besplatan (HashiCorp Vault, OpenStack Barbican) ili SaaS (AWS KMS bez CloudHSM). |
| Tipična primjena | Kvalificiran potpis eIDAS, PKI korijen, PCI-DSS sukladnost, tajne obrane. | Sigurno pokretanje, šifriranje lokalnog diska, Windows Hello atestacija. | Šifriranje aplikacije, DevOps tajne, nekritični interni certifikati. |
| Ukupni trošak vlasništva | 8 000 € do 80 000 € po uređaju + održavanje + revizija. Može se dijeliti putem clouda (€/sat). | Marginalni trošak (već prisutan na 99 % profesionalnih PC-a nakon 2016.). | Besplatan kao otvoreni kod; ~0,03 $/ključ/mjesec na upravljanom SaaS-u (AWS KMS, Azure Key Vault). |

Šifrovanje TLS postalo je neizbježno za zaštitu vaših elektronički potpisanih dokumenata. Odkrijte najbolje prakse za zaštitu svojih dokumentarnih tokova u skladu s eIDAS-om.

Šifriranje kraj-kraj je tehnološka osnova povjerljivosti dokumenata potpisanih elektronički. Razumijevanje kako funkcionira znači da ćete ovladati sigurnošću vaših ugovornih razmjena.
HSM i TPM su dvije tehnologije hardverske sigurnosti često zbunjujuće, ali s vrlo različitim ulogama. Odkrijte kako odabrati pravi modul prema vašim potrebama.
HSM enkripcija je nevidljiva osnova svake kvalificirane elektronske signature. Razumijevanje njene funkcionalnosti znači ovladavanje kriptografskom sigurnošću vaše tvrtke.
Certyneo se oslanja na HSM-ove certificirane Common Criteria EAL4+ koje upravlja kvalificirani QTSP na europskoj Trusted List eIDAS-a. QES na 9,90 €/čin već od plana Standard.
Koristimo kolačiće kako bi poboljšali tvoje iskustvo na našoj web stranici. Kolačići koji su strogo potrebni za rad usluge su uvijek aktivni. Saznaj više