- Mi a különbség az HSM és a TPM között?
- A TPM (Trusted Platform Module) egy chip, amely szinte az összes modern szakmai számítógép alaplapjára van forrasztva – az indítás lezárására, a lemez titkosítására (BitLocker) és a gép egyedi azonosítására szolgál. Az HSM (Hardware Security Module) egy önálló, vállalati kriptográfiai kulcskezelésre dedikált ház – az eIDAS minősített szintű dokumentum-aláírásra, egy hitelesítésszolgáltató gyökérének hosztolására, vagy banki titkosítási kulcsok védelméhez használható. A TPM néhány euro gépenkénti; az HSM több ezer és több tízezer euróba kerül, és csak egy szervezet szintjén van értelme.
- Az HSM-titkosítás valóban áthatolhatatlan?
- Nincs abszolút védelem, de az HSM-titkosítás ma a rendelkezésre álló anyagi védelem legmagasabb szintje. A FIPS 140-3 3. szintű vagy Common Criteria EAL4+ tanúsított HSM-ek ellenállnak az oldalsó csatornás támadásoknak (fogyasztáselemzés, elektromágneses emisszió), a hiba-injekciós támadásoknak (feszültség vagy hőmérséklet-zavarok), és automatikus kulcstörlést indítanak az ház fizikai megnyitása esetén (tamper response). Az elmúlt 10 évben egyetlen nyilvánosított kompromittálódása sem dokumentálható egy helyesen működtetett HSM-nek a termelési környezetben.
- Szükséges-e HSM-et vásárolni a minősített elektronikus aláírás használatához?
- Nem, kivéve, ha Ön maga megbízott szolgáltató. A QES-ben való aláíráshoz az Ön magánkulcsai egy minősített QTSP HSM-jében vannak tárolva (Universign, Certinomis, LuxTrust és partnereik, például Certyneo), amely az eIDAS európai Trusted List-en szerepel. Az HSM-t közvetlenül soha nem látja — erős hitelesítésen (chipsmart kártya vagy Remote QES MFA + biometria révén az eIDAS 2.0 óta) keresztül kommunikál vele.
- Mi a különbség az HSM és a KMS között?
- A KMS (Key Management Service) egy szoftver-szolgáltatás, amely a kriptográfiai kulcsok életcikluszát irányítja — generálás, rotáció, archiválás, naplózás. Az HSM az a hardverkomponens, amely fizikailag hajtja végre a kriptográfiai műveleteket ezeken a kulcsokon. A kettő nem versenytárs: egy komoly KMS az alapjában egy HSM-re támaszkodik (AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM). A tisztán szoftveres KMS (HSM nélkül) elegendő a nem kritikus belső felhasználáshoz, de nem teljesíti a PCI-DSS, eIDAS QES vagy HIPAA HSM szabályozási követelményeit.
- Kik az HSM főbb gyártói 2026-ban?
- Az HSM piacao öt gyártó uralja: Thales (Luna és payShield sorozatok, történelmi vezető), Utimaco (CryptoServer, sok európai QTSP szállítója), Atos Eviden (Trustway Proteccio, ANSSI Erősített minősítés), Marvell LiquidSecurity (HSM natív felhő az AWS és Azure számára) és Entrust nShield. A hyperscalerek saját megosztott ajánlatokat kínálnak: AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM. Az eIDAS minősített aláíráshoz a döntő kritérium a Common Criteria EAL4+ tanúsítás az EN 419 221-5 védelmi profilnal.
- Bérelhet-e HSM-et a felhőből ahelyett, hogy vásárolna?
- Igen. Az AWS CloudHSM, Azure Dedicated HSM és Google Cloud HSM dedikált, FIPS 140-2 szint 3 tanúsított HSM-eket kínálnak (jellemzően 1-3 €/óra között). Az eIDAS minősített aláírásához ezek az ajánlatok önmagukban nem elegendőek — szükség van egy minősített QTSP-re, amely saját HSM-et üzemeltet és az európai Trusted List-en szerepel. A felhő HSM előnye a rugalmasság (nincs CAPEX, nincs fizikai karbantartás), de egy gyakran amerikai hyperscaler függősége árán (érzékeny téma a Cloud Act és az európai digitális szuverenitás szempontjából).
- Hogyan lehet ellenőrizni, hogy egy aláírás-szolgáltató valóban tanúsított HSM-et használ-e?
- A szolgáltatónak az eIDAS európai Trusted List-en (https://eidas.ec.europa.eu/) QTSP-ként (Qualified Trust Service Provider) kell szerepelnie. Ez a regisztráció csak egy akkreditált szervezet (Franciaországban LSTI/COFRAC, Németországban TÜV) által végzett audit után kerül kiadásra, amely ellenőrzi az EN 419 221-5 és EN 419 241-2 normáknak való megfelelést (Remote QES az eIDAS 2.0 óta). Kiegészítésül kérje meg a szolgáltatót az HSM-ek Common Criteria tanúsítványszámára — egy komoly QTSP ezt közzéteszi a technikai dokumentációban.