HSM vs TPM: hver er munurinn og hvern á að velja?

Kynning: tvær einingar, tvær öryggisheimildir

Á sviði notaðrar dulmálsfræði og verndar stafræna lykla koma tvær tækni endurtekið fram í umræðum IT stjórnenda og öryggisábyrgra: HSM (Hardware Security Module) og TPM (Trusted Platform Module). Þessi tvö vélbúnaðaræki deila sameiginlegum markmiði — að vernda viðkvæm dulmálstæki — en arkitektúr þeirra, notkunartilfelli og sannprófunarstig eru í grundvallaratriðum ólík. Ruglingur á þessum tveimur getur leitt til óheppilegra innviðavals, jafnvel til glufra í eftirliti með reglum. Þessi grein gefur þér lykla til að skilja muninn HSM vs TPM, bera kennsl á hvenær nota á annað hvort, og taka bestu ákvörðun fyrir stofnunina þína árið 2026.

---

Hvað er HSM (Hardware Security Module)?

Hardware Security Module er tileinkaður vélbúnaðaræki, hannaður sérstaklega til að mynda, geyma og stjórna dulmálslyklum í líkamlega og rökfræðilega öruggri umhverfi. Það er sjálfstæð eining — oft í formi PCIe-korts, netæki eða skýjaþjónustu (HSM as a Service) — þar sem aðalaðgerðin er að framkvæma dulmálstæki með miklum afköstum án þess að gefa lyklana í hreinum texta út fyrir eininguna.

Tækniaðstaða HSM

HSM eru sannprófuð samkvæmt ströngum alþjóðlegum stöðlum, sérstaklega FIPS 140-2 / FIPS 140-3 (stig 2, 3 eða 4) gefin út af NIST bandarísku, og Common Criteria EAL4+ samkvæmt ISO/IEC 15408 stöðlinum. Þessar sannprófanir fela í sér mekanisma gegn líkamlegri breytingu (tamper-resistance), innbrotatilfinningara, og sjálfvirka eyðingu lykla ef reynt er að gera skaða á kerfinu.

Dæmigerð HSM gefur:

• Háa vinnslugetuna: allt að nokkur þúsund RSA eða ECDSA aðgerðir á sekúndu
• Multi-tenancy: stjórnun á hundruðum óháðra dulmálshluta
• Staðlaðar viðmót: PKCS#11, Microsoft CNG, JCA/JCE, OpenSSL engine
• Fullkominn endurskoðunarslóð: óbreytanleg skráning af hverri aðgerð

Dæmigerð notkunartilfelli HSM

HSM eru kjarninn í hæfu rafrænu undirskrift samkvæmt reglugerð eIDAS, þar sem einkalykill undirritara verður að vera mynduð og geymd í hæfu tæki til stofnunar undirskriftar (QSCD). Þau útbúa einnig vottorðisvaldið (CA/PKI), greiðslukerfin (HSM með PCI-DSS samskiptareglum), gagnagrunnskóðun og umhverfi fyrir stafræna undirskrift.

Há rafræn undirskrift í fyrirtæki byggist næstum alltaf á HSM sem er sannprófað sem QSCD til að tryggja hámarks réttarlega gildi undirskriftar.

---

Hvað er TPM (Trusted Platform Module)?

Trusted Platform Module er öryggisspjald sem innbyggt er beint á móðurborðið tölvu, netþjóns eða tengds tækis. Staðlað af Trusted Computing Group (TCG), þar sem TPM 2.0 forskrift er einnig staðlað undir ISO/IEC 11889:2015, er TPM hannað til að tryggja sjálfa pallinn frekar en að þjóna sem deild dulmálsþjónusta sem deilt er.

Arkitektúr og aðgerð TPM

Ólíkt HSM, er TPM eining til eins notkunar, bundin við ákveðinn vélbúnað. Það getur ekki verið flutt eða deilt milli margar tölva. Meginfall hans felur í sér:

• Mæling heilleika ræsingar (Secure Boot, Measured Boot) með Platform Configuration Registers (PCR)
• Geymsla lykla tengd pallinum: lyklar sem mynduð eru af TPM geta aðeins verið notaðir á vélinni sem skapaði þá
• Myndi tilfallandi tölur fyrir dulmál (RNG)
• Fjartilfinning: sanna fjarbúnum netþjóni að pallinn sé í þekktu trúuðu ástandi
• Rúmmál dulkóðun: BitLocker á Windows, dm-crypt með TPM á Linux reiða sig beint á TPM

Takmarkanir TPM fyrir háþróuð notkunartilfelli fyrirtækis

TPM 2.0 er sannprófað FIPS 140-2 stig 1 í besta falli, sem er marktækt lægra en FIPS 140-3 stig 3 sannprófun faglegra HSM. Afkastagetun dulmálsvinnslunnar er takmörkuð (tugir aðgerða á sekúndu), og það styður ekki fullkomlega PKCS#11 eða CNG viðmót á sama hátt og sérstætt HSM. Fyrir háþróuð eða hæf dulmál undirskrift, er TPM ein almennt ófullnægjandi með tilliti til eIDAS viðauka II krafna á QSCD.

---

Grundvallarmunar HSM vs TPM: samanburðartafla

Að skilja muninn HSM vs TPM Trusted Platform Module gengur í gegn um skipulegan samanburð á ákvarðandi viðmiðum fyrir fyrirtækið.

Sannprófunarstig og öryggisábyrgð

| Viðmið | HSM | TPM | |---|---|---| | FIPS sannprófun | 140-3 stig 2 til 4 | 140-2 stig 1 | | Common Criteria | EAL4+ til EAL7 | EAL4 | | eIDAS QSCD hæfi | Já (t.d. Thales Luna, Utimaco) | Nei | | Flókin líkamleg öryggistæki | Háþróuð (sjálfvirk eyðing) | Grunnstillt |

Afkastageta, skalaleiki og samþætting

HSM eru margra notenda og margra forrita tæki: ein netæki getur þjónað samtímis hundruðum viðskiptavina, forrita og þjónustu með PKCS#11 eða REST API. Þau samþættast við arkitektúra með mikilli tiltækileika (active-active klasar) og styðja iðnaðarlega dulmálsflæði.

TPM er aftur á móti ein-vél og ein-leigjandi með hönnun. Það deilir inn í öryggingu vinnustöðvar, verndun Windows Hello for Business skilríkja og heilleika búnaðar. Fyrir aðgerðir rafrænnar undirskriftar í gjallaflæðum skjala, getur TPM ekki spilað hlutverkið deildu dulmálsþjónustu.

Kostnaður og notkun

NetorkHSM fyrir fyrirtæki (Thales Luna Network HSM, Utimaco SecurityServer, AWS CloudHSM) táknar fjárfestingu á 15 000 € til 80 000 € fyrir on-premise vélbúnað, eða milli 1,50 € og 3,00 € á klst í stjórnaðri skýjalausn eftir birgjum. TPM aftur á móti er innbyggt án aukakostnaðar í næstum öllum faglegum tölvum, netþjónum og fömorkerfum frá 2014 (skylda fyrir Windows 11 frá og með 2021).

---

Hvenær á að nota HSM, hvenær á að nota TPM í fyrirtæki?

Svar við þessari spurningu fer eftir rekstraraðstæðum þínum, reglugerðarbundnum skyldum og arkitektúr upplýsingakerfisins.

Veldu HSM fyrir:

• Til að nota innri PKI: rotkeyrir vottaðra aðila verða endilega að dvelja í sannprófuðu HSM til að fá traust frá vöfrum (CA/Browser Forum Baseline Requirements)
• Gefa út hæf dulmál undirskriftir: samkvæmt II. viðauka reglugerðar eIDAS nr. 910/2014 verða QSCD að vera sannprófuð samkvæmt jafngildum stöðlum á að minnsta kosti EAL4+; samanburður á lausnum rafrænna undirskrifta greinir þessar kröfur
• Til að tryggja fjárhagslegar viðskipti með miklu magni: PCI-DSS v4.0 staðlar (kafli 3.6) knýja verndun dulkóðunarlykla gagna kortaupplýsinga í HSM
• Gagnagrunns- eða skýjadulkóðun: AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM leyfa að halda stjórn á lyklum (BYOK / HYOK)
• Undirritun og heilleiki kóða CI/CD bygginga: undirritun hugbúnaðargripaforrita fyrir örugga forrita keðju krefst HSM til að koma í veg fyrir þjófnað lykla

Veldu TPM fyrir:

• Til að tryggja ræsingu vinnustöðva og netþjóna: Secure Boot + Measured Boot + fjartilfinning með TPM 2.0 myndar grunn Zero Trust á endapunkti
• Full-disk dulkóðun: BitLocker með TPM verndar gögn í hvíld án háðar utan þjónustu
• Vélbúnaðarauðkenning vinnustöðva: Windows Hello for Business notar TPM til að geyma einkalykla auðkenningar án mögulegrar útdráttar
• NIS2 samkvæmni á endpoint öryggis: NIS2 tilskipunin (ESB 2022/2555), flutt inn í franskt lög með lögum frá 13. júní 2024, knýr tæknilegar ráðstafanir sem mynda samhverfingu til öryggis upplýsingakerfa; TPM stuðlar beint að varningu á efnislegum eignum
• Þróun IoT á iðnaði: innbyggð TPM í sjálfvirkum vélum og SCADA kerfum leyfa fjartilfiningu án sérstæðrar HSM innviða

Blendnar arkitektúr HSM + TPM

Í stórum stofnunum, HSM og TPM stangast ekki: þau fyllast hver annar upp. Netþjónn útbúinn TPM 2.0 getur staðfest heilleika hans við fjarfelldan stjórnunarþjónustu, á meðan dulmálstækn fyrir verslun (undirskrift, gagnagrunns dulkóðun) eru fluttar til netorkasafns HSM. Þessi arkitektúr er mælt með af ANSSI í leiðbeiningu sinni um meðhöndlun áhættu sem tengist birgjum traustatriðaþjónustu (PSCE). Að hafa samráð orðastaflun rafrænnar undirskriftar getur aðstoðað tæknilegar liðir við að samræma hugtakanotkun við skilgreiningu á þessari arkitektúr.

Lagaleg og eftirlitsrammi sem gildir um HSM og TPM

Val milli HSM og TPM tekur beint þátt í samkvæmni stofnunarinnar við nokkur evrópu- og alþjóðleg eftirlitsviðmið.

Reglugerð eIDAS nr. 910/2014 og eIDAS 2.0 (reglugerð ESB 2024/1183)

Þáttur 29 reglugerðar eIDAS kveður á um að rafrænar undirskriftir sem höfðu gildi séu búnar til með aðstoð Qualified Signature Creation Device (QSCD), skilgreind á II. viðauka. Þessi tæki verða að tryggja trúnað einkalykils, einkvæmni hans og ótvörustugu hans. Listi yfir viðurkenndar QSCD er birtur af innlendum faglegum aðilum (á Íslandi: ANSSI). HSM sem sannprófuð eru FIPS 140-3 stig 3 eða Common Criteria EAL4+ birtast á þessum listum; TPM birtast ekki. Aðili sem veitir undirskrift eins og Certyneo byggist á hæfum HSM til að tryggja hámarksréttar sönnun undirskrifta sem gefnar eru út.

Frönsk borgaralög, 1366 og 1367 greinar

Grein 1366 viðurkennir réttaraflið rafrænnar skriflegrar „á þeim skilyrðum að hinn sem frá honum kemur skuli auðkenndur að viðhöfum á fullri lögmæti og að hún hafi verið sett saman og geymd í aðstæðum sem eru til þess fallnar að tryggja heilleika hennar". Grein 1367 leggur fram skilyrði áreiðanlegrar rafrænnar undirskriftar, með óbeinni tilvísun til eIDAS krafna fyrir hæfu undirskrift.

GDPR nr. 2016/679, greinar 25 og 32

Meginreglan um persónuvernd eftir hönnun (grein 25) og skylda til að gera viðeigandi tæknilegar ráðstafanir (grein 32) knýr verndun dulmálslykla sem notaðir eru til að dulkóða persónuupplýsingar. Notkun sannprófaðs HSM myndar stærðfræðilega ráðstöfu (staðlaðri ráðstöfu til hugtaka í 83. umjöðrun GDPR) til að sýna fram á samkvæmni við yfirlit frá CNIL.

NIS2 tilskipun (ESB 2022/2555), flutt inn á Íslandi

NIS2 tilskipunin, gildandi fyrir nauðsynlegar og mikilvægar einingar frá og með október 2024, knýr á 21. grein tæknilegar ráðstafanir um stjórnun áhættu, þar með töldum öryggis hugbúnaðarkjöðunar og dulkóðunar. HSM bregðast beint við þessum kröfum fyrir mikilvægar aðgerðir, á meðan TPM stuðla að öryggis endapunkta.

ETSI staðlar

ETSI EN 319 401 stöðlum (almennar kröfur fyrir birgjendur traustatriðaþjónustu) og ETSI EN 319 411-1/2 (kröfur fyrir CA sem gifa út hæfu vottorð) knýra geymslu CA lykla í sannprófuðum HSM. ETSI EN 319 132 staðallinn (XAdES) og ETSI EN 319 122 (CAdES) skilgreina undirskriftunarsnið sem gera ráð fyrir notkun sannprófaðra tryggðra eininga.

ANSSI ábendingar

ANSSI gefur út RGS viðmið (Almennar öryggisviðmiðanir) og leiðbeiningar um HSM, með ábendingum um að nota sannprófuð einingir fyrir allt viðkvæmt PKI innviði í opinberum stofnunum og OIV/OSE. Vanefndir á þessum ábendingum geta falið í sér brot gegn NIS2 skyldum fyrir viðeigandi einingar.

Notkunartilfelli: HSM eða TPM eftir samhengi

Tilfelli 1: eignastýringafyrirtæki með innri PKI

Eignastýringafyrirtæki sem stjórnar nokkrum milljörðum evra eigna þarf að undirrita rafrænt reglugerðarskýrslur (AIFMD, MiFID II) og fjárfestingarsamningar með hæfu réttarlegu gildi. Það notar innri PKI þar sem rótlyklar (Root CA) og millifærslur (Issuing CA) eru varir í tveimur netorkum HSM í klasaði mikilli tiltækileika, sannprófuð FIPS 140-3 stig 3. Hæf vottorð eru gefin út á HSM samstarfsaðila sem samkvæmt eru eIDAS QSCD. Afleiðing: 100% af undirskriftum hafa hæfalt gildi, eftirlitsathuganir AMF staðfesta samkvæmni, og tíminn til að undirrita fjárfestingarskjöl fer úr 4 dögum í minna en 2 klst. Kostnaður HSM innviða er endurgoldinn innan minna en 18 mánaða samanborið við mögulegan kostnað vegna vansamkvæmni.

Tilfelli 2: lítil iðnaðarfyrirtæki með 150 starfsmenn sem tryggir vinnustöðvakeyruna sína

Litla iðnaðarfyrirtæki í flugvélaframleiðslusviðinu, afhendandi á 2. stigi sem er háð CMMC (Cybersecurity Maturity Model Certification) kröfum og NIS2 ábendingum, verður að tryggja 150 Windows stöðvar gegn þjófnaði viðkvæmra tæknigagna. Öryggisforstjóri notar BitLocker með TPM 2.0 á öllu keyruvirkjunni, ásamt Windows Hello for Business fyrir auðkenningu án lykilorðs. Fjartilfinning með TPM er samþætt í MDM lausninni (Microsoft Intune). Engin HSM er nauðsynleg í þessu samhengi: innbyggð TPM í Dell og HP stöðvum duga. Afleiðing: áhættan af gagnaflæði vegna líkamlegs þjófnaðar á fartölvu minnkar nánast að núlli, og að eigin mati CMMC, framfarir öryggisgetu cybersecurity fyrirtækisins um 40%. Aukakostnaður: 0 € (TPM þegar innbyggt í vélar).

Tilfelli 3: SaaS pallar framboð rafrænnar undirskriftar með mörgum viðskiptavinum

SaaS rekandi sem býður upp á rafrænna undirskriftar þjónustu til hundruða fyrirtækja þarf að tryggja dulmálseinangrun milli viðskiptavina og eIDAS hæfi þjónustunnar. Það notar arkitektúr sem byggist á HSM í tileinkaðri skýjalausn (AWS CloudHSM eða Thales DPoD), með HSM hluta fyrir hvern stærðleikaðan viðskiptavin og sameiginlegu safni fyrir staðalviðskiptavini. Hver viðskiptavinur myndar tengsl við einangraða lykla í hluta hans, óháðleg endurkönnun. TPM útbúa netþjóna fyrir auðkenningu á heilleika pallans við eIDAS vottun athuganir (QTSP). Afleiðing: rekandinn fær QTSP hæfi við ANSSI, sem gerir honum kleift að gefa út hæfu undirskrift. HSM as a Service líkanið minnkar capex innviðakostnaðar um 60% samanborið við on-premise lausn, samkvæmt sambærilegum inndustrisniðgunum.

Niðurstaða

Munurinn milli HSM og TPM er grundvallaraðlilgur: HSM er deild dulmálsþjónusta, há afkastageta og multi-app, sem er nauðsynleg fyrir PKI, hæf eIDAS undirskrift og NIS2 samkvæmni í stærðri mæli. TPM er öryggiseining tengt ákveðnu vélbúnaðarpalti, tilvalið til að tryggja endapunkta, örugga ræsingu og staðbundna auðkenningu. Í meirihluta þroskuðu enterprise arkitektúra árið 2026, tvö eru til staðar með viðbótarhlutverk og ekki skipt út fyrir hvort annað.

Ef stofnunin þín leitar að því að nota hæf rafrænni undirskriftar lausn sem byggist á sannprófaðri HSM innviðum, án þess að stjórna flókinni tæknilegu flókinleika innbyrðis, Certyneo gefur þér SaaS vettvang sem gerir laust, eIDAS og GDPR samkvæmt. Sjáðu Certyneo verð eða hafðu samband við sérfræðinga okkar fyrir endurskoðun á dulmálskröfum þínum.