HSM vs TPM: kokia yra skirtumas ir kurį pasirinkti?

Įvadas: du moduliai, dvi saugumo filosofijos

Taikytosios kriptografijos ir skaitmeninių raktų apsaugos srityje dvi technologijos nuolat atsiranda IT vadybininkų ir informacijos saugumo specialistų diskusijose: HSM (Hardware Security Module) ir TPM (Trusted Platform Module). Šie du aparatiniai įrenginiai turi bendrą tikslą — apsaugoti jautrias kriptografines operacijas — tačiau jų architektūra, naudojimo atvejai ir sertifikacijos lygis iš esmės skiriasi. Šių dviejų pamaišymas gali priversti priimti netinkamus infrastruktūros sprendimus ir netgi sukelti reguliavimo atitikties spragas. Šiame straipsnyje pateikiame informaciją, kaip suprasti HSM vs TPM skirtumą, nustatyti, kada naudoti vieną ar kitą, ir priimti geriausią sprendimą jūsų organizacijai 2026 m.

---

Kas yra HSM (Hardware Security Module)?

Hardware Security Module yra specialios paskirties aparatinis įrenginys, sukurtas konkrečiai generuoti, saugoti ir valdyti kriptografinius raktus fiziškai ir logiškai saugiai aplinkoje. Tai autonominis komponentas — dažniausiai PCIe kortos, tinklo aparato arba debesų paslaugos (HSM as a Service) forma — kurio pagrindinė funkcija yra vykdyti aukšto našumo kriptografines operacijas, niekada neeksponuodamas raktų aiškoje formoje už modulio ribų.

HSM techninės charakteristikos

HSM sertifikuoti pagal griežtus tarptautinius standartus, ypač FIPS 140-2 / FIPS 140-3 (lygiai 2, 3 arba 4), kuriuos paskelbė amerikietiški NIST, ir Common Criteria EAL4+ pagal ISO/IEC 15408 normą. Šios sertifikacijos reikalauja antifalšifikavimo mechanizmų (tamper-resistance), intruzijos detektorių ir automatinio raktų sunaikinimo bandant kompromitioti.

Tipinis HSM siūlo:

• Aukštas apdorojimo pajėgumas: iki kelių tūkstančių RSA arba ECDSA operacijų per sekundę
• Daugiabuvio parama: šimtų nepriklausomų kriptografinių skaidų valdymas
• Standartizuotos sąsajos: PKCS#11, Microsoft CNG, JCA/JCE, OpenSSL engine
• Pilnas audito žurnalas: nekintama kiekvienos operacijos registracija

Tipiški HSM naudojimo atvejai

HSM yra kvalifikuotos elektroninės parašo šerdis eIDAS reglamento prasme, kuriame parašo žaliavas privalo būti generuota ir saugoma patvirtintame parašo kūrimo įrenginyje (QSCD). Jie taip pat aprūpina sertifikavimo institucijas (CA/PKI), mokėjimų sistemas (HSM protokolą PCI-DSS), duomenų bazės šifravimo infrastruktūras ir CI/CD aplinkos kodo pasirašymui.

Kvalifikuota elektroninio parašo sprendimas versle beveik visada remiasi HSM, sertifikuotu kaip QSCD, kad garantuotų maksimalią parašų juridinę vertę.

---

Kas yra TPM (Trusted Platform Module)?

Trusted Platform Module yra saugumo čipa, tiesiogiai integruota į kompiuterio, serverio arba sujungto objekto plokštę. Standartizuota Trusted Computing Group (TCG), kurio TPM 2.0 specifikacija taip pat standartizuota pagal ISO/IEC 11889:2015, TPM sukurtas apsaugoti pačią platformą, o ne tarnauti kaip centralizuota bendrinama kriptografinė paslauga.

TPM architektūra ir veikimas

Skirtingai nuo HSM, TPM yra vienam naudojimui skirtas komponentas, susietas su konkrečiu aparatine įranga. Jis negali būti perkeltas ar dalintas tarp kelių mašinų. Jo pagrindinės funkcijos yra:

• Įkrovimo integralumo matavimas (Secure Boot, Measured Boot) per Platform Configuration Registers (PCR)
• Platformai surivta raktų saugojimas: TPM sugeneruoti raktai gali būti naudojami tik mašinoje, kurioje jie buvo sukurti
• Kriptografinių atsitiktinių skaičių generavimas (RNG)
• Nuotolinė atestacija: įrodyti nuotoliniam serveriui, kad platforma yra žinomame pasitikėjimo būsenoje
• Tomo šifravimas: BitLocker Windows, dm-crypt su TPM Linux tiesiogiai remiasi TPM

TPM ribojimų atsižvelgiant į pažangius verslo naudojimo atvejus

TPM 2.0 sertifikuotas FIPS 140-2 lygiu 1 geriausiu atveju, o tai yra gerokai žemiau nei profesionalių HSM FIPS 140-3 3 lygio sertifikacijos. Jo kriptografinės apdorojimo pajėgumas yra ribojamas (kelios dešimtys operacijų per sekundę), ir jis ne visai pilnai nativiniu būdu nepalaiko PKCS#11 arba CNG sąsajų taip, kaip dedikuotas HSM. Dėl pažangios arba kvalifikuotos elektroninės parašo, vienas TPM paprastai nepakanka pagal eIDAS priedą II QSCD reikalavimus.

---

Pagrindiniai HSM vs TPM skirtumai: lyginamoji lentelė

Suprasti HSM vs TPM Trusted Platform Module skirtumą reikalauja struktūrizuoto pagrindinių kriterijų palyginimo.

Sertifikacijos lygis ir saugumo garantija

| Kriterijus | HSM | TPM | |---|---|---| | FIPS sertifikacija | 140-3 lygis 2 iki 4 | 140-2 lygis 1 | | Common Criteria | EAL4+ iki EAL7 | EAL4 | | eIDAS QSCD kvalifikacija | Taip (pvz.: Thales Luna, Utimaco) | Ne | | Fiziško apsaugojimo nuo falsifikavimo | Išplėsta (automatinis sunaikinimas) | Pagrindinė |

Pajėgumas, masteliškumas ir integracija

HSM yra daugiausia naudotojų ir daugiaaplikacines įrenginiai: viena tinklo aparatas gali vienu metu aptarnauti šimtus klientų, aplikacijų ir paslaugų per PKCS#11 arba REST API. Jie integruojasi į aukštos pasiekiamumo architektūras (active-active klasteriai) ir palaiko pramonines kriptografines srauto apimtis.

TPM, kita vertus, yra pagal projektą monokompiuterinė ir monotenanto forma. Jis puikiai veikia darbo vietos apsaugoje, Windows Hello for Business kredencialų apsaugoje ir programinės įrangos integralume. Dėl operacijų elektroniniam parašui dokumentų srautuose, TPM negali atlikti bendrintos kriptografinės paslaugos vaidmens.

Sąnaudos ir diegimas

Verslo lygio HSM tinklas (Thales Luna Network HSM, Utimaco SecurityServer, AWS CloudHSM) yra 15 000 € iki 80 000 € suma už aparatę on-premise, arba tarp 1,50 € ir 3,00 € per valandą debesų valdomame režime pagal tiekėjus. TPM, tuo tarpu, yra integruotas be papildomų sąnaudų į praktiškai visus verslo PC, serverius ir suįrengtus sistemos nuo 2014 m. (privalomas Windows 11 nuo 2021 m.).

---

Kada naudoti HSM, kada naudoti TPM versle?

Atsakymas į šį klausimą priklauso nuo jūsų operacinės aplinkos, reguliavimo įsipareigojimų ir jūsų informacinės sistemos architektūros.

Pasirinkite HSM dėl:

• Vidinės PKI diegimo: jūsų sertifikavimo institucijos šakniniai raktai turi būti saugomi sertifikuotame HSM, kad būtų pasitikėjimas iš naršyklių (CA/Browser Forum Baseline Requirements)
• Kvalifikuoto elektroninio parašo išdavimo: pagal eIDAS reglamento n°910/2014 II priedą, QSCD turi būti sertifikuoti pagal standartuus, lygiaverčius EAL4+ minimumui; elektroninio parašo sprendimų palyginimas detaliau aprašo šiuos reikalavimus
• Didelių apimčių finansinių sandorių apsauga: PCI-DSS v4.0 standartai (3.6 skirsnis) reikalauja kortelės duomenų šifravimo raktų apsaugos HSM
• Duomenų bazės arba debesų šifravimas: AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM leidžia išlaikyti raktų kontrolę (BYOK / HYOK)
• Kodo pasirašymas ir CI/CD statinio integralumas: programinės įrangos artefaktų pasirašymas tiekimo grandinės saugai reikalauja HSM, kad būtų išvengta raktų vagystės

Pasirinkite TPM dėl:

• Darbo vietos ir serverio įkrovos apsaugos: Secure Boot + Measured Boot + TPM 2.0 atestacija yra Zero Trust pagrindas endpoint
• Visadiskinio šifravimo: BitLocker su TPM apsaugo neveikiančius duomenis be išorinės paslaugos priklausomybės
• Aparatinio darbo vietos autentifikavimo: Windows Hello for Business naudoja TPM saugoti autentifikavimo privatuosius raktus be ištraukimo galimybės
• NIS2 atitiktis endpoint saugumo: direktyva NIS2 (ES 2022/2555), perimta Prancūzijos dėsniais nuo 2024 m. birželio 13 d., reikalauja proporcingų techninių priemonių informacinių sistemų saugai; TPM tiesiogiai prisideda prie aparatinės turto apsaugos
• Pramoniniai IoT projektai: TPM, saugomi automatuose ir SCADA sistemose, leidžia nuotolinę atestaciją be dedikuotos HSM infrastruktūros

Hibridinės HSM + TPM architektūros

Didelėse organizacijose HSM ir TPM neoponuoja: jie papildo vienas kitą. Serveris, aprūpintas TPM 2.0, gali patvirtinti savo integrumą centralizuoto valdymo paslaugai, tuo tarpu verslinės kriptografinės operacijos (parašas, duomenų šifravimas) yra delegata HSM tinklo klasteriui. Šią architektūrą rekomenduoja ANSSI savo gide dėl rizikos valdymo, susijusios su pasitikėjimo paslaugų teikėjais (PSCE). Elektroninio parašo žodyno patikrinimas gali padėti techniniams komandams harmonizuoti terminologiją šios architektūros apibrėžimą metu.

Taikomasis teisinė ir normatyvinė sistema HSM ir TPM

Sprendimas tarp HSM ir TPM tiesiogiai svarbu jūsų organizacijos atitiktis keliems Europos ir tarptautiniams reguliaciniam nuorodynams.

eIDAS reglamentas n°910/2014 ir eIDAS 2.0 (ES reglamentas 2024/1183)

eIDAS reglamento 29 straipsnis reikalauja, kad kvalifikuoti elektroniniai parašai būtų kuriami naudojant Qualified Signature Creation Device (QSCD), apibrėžtą II priede. Šie įrenginiai turi garantuoti privataus raktų konfidencialumą, jo unikalumą ir neliečiamumą. Pripažintų QSCD sąrašą skelbia nacionaliniai akreditacijos organai (Prancūzijoje: ANSSI). FIPS 140-3 3 lygio arba Common Criteria EAL4+ sertifikuoti HSM yra šiuose sąraše; TPM nėra. Parašo paslaugų teikėjas, tokis kaip Certyneo, remiasi kvalifikuotais HSM, kad garantuotų maksimalią išduotų parašų įrodominę vertę.

Prancūzijos Civilinis kodeksas, 1366 ir 1367 straipsniai

1366 straipsnis pripažįsta elektroninio rašto juridinę vertę „jei asmuo, iš kurio jis kyla, gali būti tinkamai identifikuotas ir jis yra sudaromas ir saugomas tokiomis sąlygomis, kurios garantuoja jo integrumą". 1367 straipsnis nurodo patikimo elektroninio parašo sąlygas, netiesiogiai remiantis eIDAS reikalavimais kvalifikuotiems parašams.

GDPR 2016/679, 25 ir 32 straipsniai

Privatumo pagal pagal projektą principas (25 straipsnis) ir atitinkamų techninių priemonių įtvirtinimo pareiga (32 straipsnis) reikalauja kriptografinių raktų, naudojamų asmeniniais duomenims šifruoti, apsaugos. Pasitikti sertifikuotu HSM konstituuoja „state of the art" priemonę (state of the art per GDPR 83 preambulę), kad būtų parodyta atitiktis CNIL kontrolės metu.

NIS2 direktyva (ES 2022/2555), perimta Prancūzijoje

NIS2 direktyva, taikoma esminėms ir svarbiausioms institucijoms nuo 2024 m. spalio, 21 straipsnyje reikalauja rizikos valdymo priemonių, įskaitant programinės tiekimo grandinės saugą ir šifravimą. HSM tiesiogiai atitinka šiuos reikalavimus kritinėms operacijoms, tuo tarpu TPM prisideda prie endpoint apsaugos.

ETSI standartai

Standartas ETSI EN 319 401 (bendri reikalavimai pasitikėjimo paslaugų teikėjams) ir ETSI EN 319 411-1/2 (reikalavimai CA, išduodantiems sertifikuotus sertifikatus) reikalauja CA raktų saugojimo sertifikuotuose HSM. Standartas ETSI EN 319 132 (XAdES) ir ETSI EN 319 122 (CAdES) nustato parašų formatus, kurie numato sertifikuotų saugumo modulių naudojimą.

ANSSI rekomendacijos

ANSSI skelbia RGS (Référentiel Général de Sécurité) ir jos vadovus apie HSM, rekomenduojant sertifikuotų modulių naudojimą bet kokiai jautri PKI infrastruktūrai valstybės organizacijose ir OIV/OSE. Šių rekomendacijų nesilaikymas gali sąlygointi NIS2 įsipareigojimų pažeidimą dėl susijusių institucijų.

Naudojimo scenarijai: HSM arba TPM pagal kontekstą

1 scenarijus: finansinio turto valdymo bendrovė su vidine PKI

Turto valdymo bendrovė, valdanti kelias milijardus eurų, turi elektroniškai pasirašyti reguliacinius pranešimus (AIFMD, MiFID II) ir investavimo sutartis su maksimalia juridine kvalifikuota verte. Jis diegia vidaus PKI, kurios šakniniai raktai (Root CA) ir tarpiniai (Issuing CA) yra apsaugoti dviejuose HSM tinklo klasteriuose, sertifikuotuose FIPS 140-3 3 lygiu. Kvalifikuoti sertifikatai yra išduodami partnerių HSM, atitinkančiuose eIDAS QSCD. Rezultatas: 100 % parašų turi kvalifikuotą vertę, reguliaciniai auditoriai patvirtina AMF atitiktį, ir dokumentų pasirašymo laikas sumažėja nuo 4 dienų iki mažiau nei 2 valandų. HSM infrastruktūros sąnaudos grąžintos per mažiau nei 18 mėnesių, palyginti su potencialaus nesuderinimo sąnaudomis.

2 scenarijus: 150 darbuotojų pramoninė SME, sauganti savo darbo vietos parką

Aeronatikos sektoriaus SME, 2 rango tiekėjas, paklaustas CMMC (Cybersecurity Maturity Model Certification) ir NIS2 rekomendacijų, turi saugoti 150 Windows darbo vietas nuo jautrių techninių duomenų vagystės. RSSI diegia BitLocker su TPM 2.0 visame parke, suporuotą su Windows Hello for Business autentifikavimui be slaptažodžio. Nuotolinis atestacija per TPM integruojama į MDM sprendimą (Microsoft Intune). Šiame kontekste nereikia jokio HSM: integruoti TPM iš Dell ir HP pakanka. Rezultatas: fizinio nešiojamojo kompiuterio vagystės dėl duomenų nutekėjimo rizika sumažėja beveik į nulį, ir SME kibernetinio saugumo subrendusmo balas pagal CMMC savianalizę padidėja 40 %. Papildomos sąnaudos: 0 € (TPM jau integruotas į mašinas).

3 scenarijus: daugiaklientės SaaS platforma, teikianti elektroninio parašo paslaugas

SaaS operatorius, siūlantis elektroninio parašo paslaugas keliems šimtams verslo klientų, turi garantuoti kriptografinį izoliavimą tarp klientų ir savo paslaugos eIDAS kvalifikavimą. Jis diegia architektūrą, pagristą HSM debesų variantu, dedikuotu (AWS CloudHSM arba Thales DPoD), su HSM skirtu dideliam nuomodarkliui ir bendrintu basenu standartiniams klientams. Kiekvienas klientas turi naudą iš raktų, izoliuotų savo skyriuje, nepriklausomai audituojamo. TPM aprūpina programos serverius platformos integralumo patikrinimui eIDAS sertifikacijos auditų metu (QTSP). Rezultatas: operatorius gauna QTSP kvalifikavimą nuo ANSSI, leidžiant išduoti kvalifikuotus parašus. HSM as a Service modelis sumažina kapitalinės išlaidos infrastruktūrai 60 % lyginant su on-premise sprendimu, pagal panašias sektoriaus lygumo metrikas.

Išvada

HSM ir TPM skirtumas yra fundamentalus: HSM yra bendra kriptografinė paslauga, aukšto našumo ir multisoftware, neabejotina PKI, kvalifikuotiems eIDAS parašams ir atitiktis PCI-DSS arba NIS2 stambiu mastu. TPM yra konkrečiai aparatinei platformai susietas pasitikėjimo komponentas, idealus endpoint apsaugai, saugiam įkrovimui ir vietinei autentifikacijai. Daugumoje subrendusių verslo architektūrų 2026 m., abu egzistuoja su komplementariais ir nepakeičiamais vaidmenimis.

Jei jūsų organizacija stengiasi diegti kvalifikuotą elektroninio parašo sprendimą, sugrindžiamą sertifikuota HSM infrastruktūra, be vidaus techninės sudėtingumo valdymo, Certyneo jums siūlo iš anksto sumontuotą SaaS platformą, atitinkančią eIDAS ir GDPR. Sužinokite Certyneo kainas arba susisiekite su mūsų ekspertais dėl jūsų kriptografinių poreikių audito.