HSM vs TPM : apa perbedaannya dan mana yang harus dipilih?

Pengantar : dua modul, dua filosofi keamanan

Dalam bidang kriptografi terapan dan perlindungan kunci digital, dua teknologi selalu muncul dalam diskusi DSI dan RSSI : HSM (Hardware Security Module) dan TPM (Trusted Platform Module). Kedua perangkat keras ini berbagi tujuan umum — melindungi operasi kriptografi sensitif — namun arsitektur, kasus penggunaan, dan tingkat sertifikasi mereka berbeda secara fundamental. Mencampuradukkan keduanya dapat menyebabkan pilihan infrastruktur yang tidak sesuai, bahkan celah kepatuhan regulasi. Artikel ini memberikan kunci untuk memahami perbedaan HSM vs TPM, mengidentifikasi kapan menggunakan yang satu atau yang lain, dan membuat keputusan terbaik untuk organisasi Anda di 2026.

---

Apa itu HSM (Hardware Security Module)?

Hardware Security Module adalah perangkat keras khusus yang dirancang khusus untuk menghasilkan, menyimpan, dan mengelola kunci kriptografi dalam lingkungan yang aman secara fisik dan logis. Ini adalah komponen mandiri — sering berupa kartu PCIe, appliance jaringan, atau layanan cloud (HSM as a Service) — yang fungsi utamanya adalah menjalankan operasi kriptografi berkinerja tinggi tanpa pernah mengekspos kunci dalam bentuk plaintext di luar modul.

Karakteristik teknis HSM

HSM disertifikasi menurut standar internasional yang ketat, khususnya FIPS 140-2 / FIPS 140-3 (level 2, 3 atau 4) yang diterbitkan oleh NIST Amerika, dan Common Criteria EAL4+ menurut standar ISO/IEC 15408. Sertifikasi ini memerlukan mekanisme anti-pemalsuan fisik (tamper-resistance), detektor intrusi, dan penghancuran kunci otomatis jika terjadi percobaan kompromi.

HSM tipikal menyediakan :

• Kapasitas pemrosesan tinggi : hingga beberapa ribu operasi RSA atau ECDSA per detik
• Multi-tenancy : mengelola ratusan partisi kriptografi independen
• Interface standar : PKCS#11, Microsoft CNG, JCA/JCE, OpenSSL engine
• Audit trail lengkap : pencatatan yang tidak dapat diubah dari setiap operasi

Kasus penggunaan tipikal HSM

HSM adalah inti dari tanda tangan elektronik berkualifikasi menurut peraturan eIDAS, di mana kunci pribadi penandatangan harus dihasilkan dan disimpan dalam perangkat pembuatan tanda tangan berkualifikasi (QSCD). Mereka juga dilengkapi dengan otoritas sertifikasi (CA/PKI), sistem pembayaran (HSM protokol PCI-DSS), infrastruktur enkripsi basis data, dan lingkungan code signing.

Tanda tangan elektronik berkualifikasi di perusahaan hampir selalu bergantung pada HSM yang disertifikasi sebagai QSCD untuk menjamin nilai hukum maksimal dari tanda tangan.

---

Apa itu TPM (Trusted Platform Module)?

Trusted Platform Module adalah chip keamanan yang terintegrasi langsung pada papan sirkuit utama komputer, server, atau benda terhubung. Distandarkan oleh Trusted Computing Group (TCG), dengan spesifikasi TPM 2.0 juga dinormalisasi di bawah ISO/IEC 11889:2015, TPM dirancang untuk mengamankan platform itu sendiri daripada berfungsi sebagai layanan kriptografi terpusat yang dibagikan.

Arsitektur dan operasi TPM

Tidak seperti HSM, TPM adalah komponen penggunaan tunggal yang terikat pada perangkat keras tertentu. TPM tidak dapat dipindahkan atau dibagikan antara beberapa mesin. Fungsi utamanya meliputi :

• Pengukuran integritas boot (Secure Boot, Measured Boot) melalui Platform Configuration Registers (PCR)
• Penyimpanan kunci terikat platform : kunci yang dihasilkan TPM hanya dapat digunakan pada mesin yang membuatnya
• Pembuatan angka acak kriptografi (RNG)
• Attestasi jarak jauh : membuktikan ke server jauh bahwa platform berada dalam keadaan kepercayaan yang dikenal
• Enkripsi volume : BitLocker di Windows, dm-crypt dengan TPM di Linux bergantung langsung pada TPM

Batasan TPM untuk penggunaan enterprise lanjutan

TPM 2.0 disertifikasi FIPS 140-2 level 1 paling baik, jauh lebih rendah daripada sertifikasi FIPS 140-3 level 3 dari HSM profesional. Kapasitas pemrosesan kriptografi terbatas (beberapa puluh operasi per detik), dan tidak mendukung interface PKCS#11 atau CNG secara asli seumurah HSM khusus. Untuk tanda tangan elektronik lanjutan atau berkualifikasi, TPM saja secara umum tidak memadai sesuai dengan persyaratan eIDAS annex II tentang QSCD.

---

Perbedaan fundamental HSM vs TPM : tabel perbandingan

Memahami perbedaan HSM vs TPM Trusted Platform Module melewati perbandingan terstruktur dari kriteria penentu untuk perusahaan.

Tingkat sertifikasi dan jaminan keamanan

| Kriteria | HSM | TPM | |---|---|---| | Sertifikasi FIPS | 140-3 level 2 hingga 4 | 140-2 level 1 | | Common Criteria | EAL4+ hingga EAL7 | EAL4 | | Kualifikasi eIDAS QSCD | Ya (contoh : Thales Luna, Utimaco) | Tidak | | Anti-pemalsuan fisik | Lanjutan (auto-destruction) | Dasar |

Kapasitas, skalabilitas, dan integrasi

HSM adalah perangkat multi-pengguna dan multi-aplikasi : appliance jaringan tunggal dapat melayani ratusan klien, aplikasi, dan layanan secara bersamaan melalui PKCS#11 atau REST API. Mereka terintegrasi dalam arsitektur ketersediaan tinggi (cluster aktif-aktif) dan mendukung throughput kriptografi industri.

TPM, sebaliknya, adalah mono-machine dan mono-tenant menurut desain. Ini unggul dalam mengamankan workstation, melindungi kredensial akses Windows Hello for Business, dan integritas firmware. Untuk operasi tanda tangan elektronik dalam alur kerja dokumenter, TPM tidak dapat memainkan peran layanan kriptografi bersama.

Biaya dan penyebaran

HSM jaringan tingkat enterprise (Thales Luna Network HSM, Utimaco SecurityServer, AWS CloudHSM) mewakili investasi 15.000 € hingga 80.000 € untuk perangkat keras on-premise, atau antara 1,50 € dan 3,00 € per jam dalam mode cloud terkelola menurut penyedia. TPM, di sisi lain, terintegrasi tanpa biaya tambahan di hampir semua PC profesional, server, dan sistem tertanam sejak 2014 (wajib untuk Windows 11 sejak 2021).

---

Kapan menggunakan HSM, kapan menggunakan TPM di perusahaan?

Jawaban atas pertanyaan ini tergantung pada konteks operasional Anda, kewajiban regulasi, dan arsitektur sistem informasi Anda.

Pilih HSM untuk :

• Menyebarkan PKI internal : kunci root otoritas sertifikasi Anda harus berada dalam HSM bersertifikat untuk mendapatkan kepercayaan browser (CA/Browser Forum Baseline Requirements)
• Mengeluarkan tanda tangan elektronik berkualifikasi : sesuai dengan annex II peraturan eIDAS no.910/2014, QSCD harus disertifikasi menurut standar setara dengan EAL4+ minimum ; perbandingan solusi tanda tangan elektronik merinci persyaratan ini
• Mengamankan transaksi finansial volume tinggi : standar PCI-DSS v4.0 (bagian 3.6) memerlukan perlindungan kunci enkripsi data kartu dalam HSM
• Enkripsi basis data atau cloud : AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM memungkinkan mempertahankan kontrol kunci (BYOK / HYOK)
• Code signing dan integritas build CI/CD : penandatanganan artefak perangkat lunak untuk rantai pasokan aman memerlukan HSM untuk mencegah pencurian kunci

Pilih TPM untuk :

• Mengamankan boot workstation dan server : Secure Boot + Measured Boot + attestasi jarak jauh melalui TPM 2.0 merupakan dasar Zero Trust pada endpoint
• Enkripsi disk full-disk : BitLocker dengan TPM melindungi data saat istirahat tanpa ketergantungan pada layanan eksternal
• Autentikasi perangkat keras workstation : Windows Hello for Business menggunakan TPM untuk menyimpan kunci pribadi autentikasi tanpa kemungkinan ekstraksi
• Kepatuhan NIS2 pada keamanan endpoint : direktif NIS2 (UE 2022/2555), yang ditransposisikan ke hukum Prancis dengan undang-undang 13 Juni 2024, memaksakan tindakan teknis proporsional untuk keamanan sistem informasi ; TPM berkontribusi langsung pada pengamanan aset material
• Proyek IoT industri : TPM tertanam dalam otomat dan sistem SCADA memungkinkan attestasi jarak jauh tanpa infrastruktur HSM khusus

Arsitektur hibrida HSM + TPM

Dalam organisasi besar, HSM dan TPM tidak bertentangan : mereka saling melengkapi. Server yang dilengkapi TPM 2.0 dapat membuktikan integritasnya kepada layanan manajemen terpusat, sementara operasi kriptografi bisnis (tanda tangan, enkripsi data aplikasi) didelegasikan ke cluster HSM jaringan. Arsitektur ini direkomendasikan oleh ANSSI dalam panduan tentang mengelola risiko terkait penyedia layanan kepercayaan (PSCE). Berkonsultasi dengan glosarium tanda tangan elektronik dapat membantu tim teknis menyelaraskan terminologi saat mendefinisikan arsitektur ini.

Kerangka hukum dan normatif yang berlaku untuk HSM dan TPM

Pilihan antara HSM dan TPM secara langsung melibatkan kepatuhan organisasi Anda terhadap beberapa referensi regulasi Eropa dan internasional.

Peraturan eIDAS no.910/2014 dan eIDAS 2.0 (peraturan UE 2024/1183)

Pasal 29 peraturan eIDAS mengharuskan tanda tangan elektronik berkualifikasi dibuat melalui Qualified Signature Creation Device (QSCD), didefinisikan di annex II. Perangkat ini harus menjamin kerahasiaan kunci pribadi, keunikan, dan ketidakdapatditembusan. Daftar QSCD yang diakui diterbitkan oleh badan akreditasi nasional (di Prancis : ANSSI). HSM bersertifikat FIPS 140-3 level 3 atau Common Criteria EAL4+ terdaftar di daftar ini ; TPM tidak terdaftar. Penyedia tanda tangan seperti Certyneo mengandalkan HSM berkualifikasi untuk menjamin nilai pembuktian maksimal dari tanda tangan yang dikeluarkan.

Kode Sipil Prancis, pasal 1366 dan 1367

Pasal 1366 mengakui nilai hukum tulisan elektronik "asalkan orang yang mengeluarkannya dapat diidentifikasi dengan benar dan dibuat serta disimpan dalam kondisi yang dirancang untuk menjamin integritasnya". Pasal 1367 menjelaskan kondisi tanda tangan elektronik yang dapat diandalkan, secara implisit merujuk pada persyaratan eIDAS untuk tanda tangan berkualifikasi.

RGPD no.2016/679, pasal 25 dan 32

Prinsip privacy by design (pasal 25) dan kewajiban mengambil tindakan teknis yang sesuai (pasal 32) memaksakan perlindungan kunci kriptografi yang digunakan untuk mengenkripsi data pribadi. Menggunakan HSM bersertifikat merupakan ukuran terdepan (state of the art sesuai pertimbangan 83 RGPD) untuk menunjukkan kepatuhan selama pemeriksaan CNIL.

Direktif NIS2 (UE 2022/2555), ditransposisikan di Prancis

Direktif NIS2, berlaku untuk entitas penting dan penting sejak Oktober 2024, memaksakan pasal 21 tindakan manajemen risiko termasuk keamanan rantai pasokan perangkat lunak dan enkripsi. HSM secara langsung memenuhi persyaratan ini untuk operasi kritis, sementara TPM berkontribusi pada pengamanan endpoint.

Standar ETSI

Standar ETSI EN 319 401 (persyaratan umum untuk penyedia layanan kepercayaan) dan ETSI EN 319 411-1/2 (persyaratan untuk CA yang mengeluarkan sertifikat berkualifikasi) memerlukan penyimpanan kunci CA dalam HSM bersertifikat. Standar ETSI EN 319 132 (XAdES) dan ETSI EN 319 122 (CAdES) mendefinisikan format tanda tangan yang mengasumsikan penggunaan modul aman bersertifikat.

Rekomendasi ANSSI

ANSSI menerbitkan kerangka kerja RGS (Référentiel Général de Sécurité) dan panduan tentang HSM, merekomendasikan penggunaan modul bersertifikat untuk infrastruktur PKI sensitif dalam organisasi publik dan OIV/OSE. Ketidakpatuhan terhadap rekomendasi ini dapat merupakan pelanggaran kewajiban NIS2 bagi entitas yang bersangkutan.

Skenario penggunaan : HSM atau TPM menurut konteks

Skenario 1 : perusahaan manajemen aset keuangan dengan PKI internal

Perusahaan manajemen aset yang mengelola beberapa miliar euro aset kelolaan perlu menandatangani laporan regulasi secara elektronik (AIFMD, MiFID II) dan kontrak investasi dengan nilai hukum berkualifikasi. Ia menyebarkan PKI internal yang kunci root (Root CA) dan menengah (Issuing CA) dilindungi dalam dua HSM jaringan dalam cluster ketersediaan tinggi, disertifikasi FIPS 140-3 level 3. Sertifikat berkualifikasi dikeluarkan pada HSM mitra yang sesuai dengan QSCD eIDAS. Hasil : 100% tanda tangan memiliki nilai berkualifikasi, audit regulasi AMF mengkonfirmasi kepatuhan, dan waktu penandatanganan dokumen investasi berkurang dari 4 hari menjadi kurang dari 2 jam. Biaya infrastruktur HSM terbayar dalam waktu kurang dari 18 bulan dibandingkan dengan biaya ketidakpatuhan potensial.

Skenario 2 : UKM industri dengan 150 karyawan yang mengamankan taman workstation

UKM sektor manufaktur aeronotika, pemasok tingkat 2 yang tunduk pada persyaratan CMMC (Cybersecurity Maturity Model Certification) dan rekomendasi NIS2, harus mengamankan 150 workstation Windows terhadap pencurian data teknis sensitif. RSSI menyebarkan BitLocker dengan TPM 2.0 ke seluruh taman, dikombinasikan dengan Windows Hello for Business untuk autentikasi tanpa kata sandi. Attestasi jarak jauh melalui TPM terintegrasi dalam solusi MDM (Microsoft Intune). Tidak ada HSM yang diperlukan dalam konteks ini : TPM tertanam di workstation Dell dan HP sudah cukup. Hasil : risiko kebocoran data karena pencurian fisik laptop berkurang menjadi hampir nol, dan skor kematangan keamanan siber UKM meningkat 40% menurut penilaian mandiri CMMC. Biaya tambahan : 0 € (TPM sudah tertanam di mesin).

Skenario 3 : operator platform SaaS tanda tangan elektronik multi-klien

Operator SaaS yang menawarkan layanan tanda tangan elektronik kepada beberapa ratus perusahaan klien harus menjamin isolasi kriptografi antara klien dan kualifikasi eIDAS layanannya. Ia menyebarkan arsitektur berbasis HSM dalam mode cloud khusus (AWS CloudHSM atau Thales DPoD), dengan partisi HSM per penyewa ukuran besar dan pool bersama untuk klien standar. Setiap klien mendapat manfaat dari kunci yang terisolasi dalam partisinya, dapat diaudit secara independen. TPM melengkapi server aplikasi untuk attestasi integritas platform selama audit sertifikasi eIDAS (QTSP). Hasil : operator mendapatkan kualifikasi QTSP dari ANSSI, memungkinkan pengeluaran tanda tangan berkualifikasi. Model HSM as a Service mengurangi capex infrastruktur sebesar 60% dibandingkan solusi on-premise, menurut benchmark industri yang sebanding.

Kesimpulan

Perbedaan antara HSM dan TPM adalah fundamental : HSM adalah layanan kriptografi bersama, berkinerja tinggi dan multi-aplikatif, penting untuk PKI, tanda tangan eIDAS berkualifikasi dan kepatuhan PCI-DSS atau NIS2 skala besar. TPM adalah komponen kepercayaan yang terikat pada platform perangkat keras tertentu, ideal untuk mengamankan endpoint, boot aman, dan autentikasi lokal. Dalam mayoritas arsitektur enterprise matang di 2026, keduanya hidup berdampingan dengan peran pelengkap dan tidak dapat diganti.

Jika organisasi Anda mencari solusi tanda tangan elektronik berkualifikasi yang mengandalkan infrastruktur HSM bersertifikat, tanpa mengelola kompleksitas teknis secara internal, Certyneo menawarkan platform SaaS siap pakai, sesuai dengan eIDAS dan RGPD. Temukan harga Certyneo atau hubungi para ahli kami untuk audit kebutuhan kriptografi Anda.