HSM šifrēšana: darbības princips un privātās atslēgas (2026)

Skaitlisko transakciju drošība balstās uz komponentu, kas bieži vien nav labi zināms IT vadības virzienos: Hardware Security Module (HSM). Šis dedikētais aparatūras ierīce ģenerē, glabā un aizsargā kriptografiskās atslēgas, nekad tās neizvirzot ārējā programmatūras vidē. Kamēr kibernoziegumi, kas vērsti uz PKI infrastruktūru, starp 2023. un 2025. gadu pieauga par 43 % saskaņā ar ENISA Threat Landscape 2025 pārskatu, HSM šifrēšanas darbības principa izpratne kļūst par stratēģisku jautājumu jebkuram uzņēmumam, kas pārvalda kvalificētus elektroniskos parakstus, bankas transakcijas vai sensitīvu datu apmaiņu. Šis raksts atklāj HSM arhitektūru, privāto atslēgu dzīves ciklu, kriptografiskos protokolus un izvēles kritērijus B2B organizācijām.

HSM aparatūras arhitektūra: kriptografisks seifs

HSM ir pēc definīcijas fizisks ierīce, kura ir neaizskarama (tamper-resistant). Atšķirībā no programmatūras risinājuma, tas integrē iekļūšanas detektēšanas mehānismus, kas tūlīt izraisa atslēgu automatisko dzēšanu, ja tiek konstatēta fiziska pārkāpuma mēģinājuma (mehānisms, ko sauc par zeroization).

Iekšējie komponenti un drošs izolējums

HSM iekšējā arhitektūra balstās uz vairākām papildinošām slāņiem:

• Dedikēts kriptografisks procesors: izpilda šifrēšanas operācijas (RSA, ECDSA, AES, SHA-256) izolēti no saimnieka sistēmas.
• Aparatūras nejaušu skaitļu ģenerators (TRNG): rada patiesu entropiju, kas ir neatņemama sa ģenerēto atslēgu spēcei — aparatūras TRNG pārspēj programmatūras PRNG paredzamības ziņā.
• Drošs nevolatīls atmiņa: glabā galvenās atslēgas fizikāli aizsargātā zonā, kas nav pieejama no ārpuses pat demontāžas gadījumā.
• Neaizskarama apvalks (tamper-evident enclosure): jebkurš mēģinājums atvērt izraisa trauksmi un slepeņu dzēšanu.

HSM tiek sertificēti saskaņā ar FIPS 140-2/140-3 standartiem (2. līdz 4. līmenis), kurus izdeva NIST, un Common Criteria EAL 4+ Eiropas prasīgākajiem lietojumiem. Piemēram, FIPS 140-3 3. līmeņa HSM prasa daudzfaktoru autentifikāciju jebkurai piekļuvei atslēgām un ir izturīgs aktīviem fiziskiem uzbrukumiem.

Izvietošanas veidi: on-premise, PCIe un cloud HSM

Tirgū B2B līdzāspastāv trīs fiziskas formas:

1. HSM tīkls (appliance): skapja modulis, kas savienots ar lokālo tīklu, kopīgs vairākiem programmu serveriem. Tipiski izmanto uzticības pakalpojumu sniedzēji (PSCo/TSP), kas sertificēti saskaņā ar eIDAS.
2. PCIe HSM karte: modulis, kas integrēts tieši serverī, nodrošinot labākas latences lielapjoma parakstīšanas lietotnēm.
3. Cloud HSM: pārvaldīts pakalpojums, ko piedāvā mākoņa pakalpojumu sniedzēji (Azure Dedicated HSM, AWS CloudHSM, Google Cloud HSM). Aparatūra paliek fizikāli dedikēta klientam, taču tiek mitināta pakalpojuma sniedzēja datu centrā — piemērots uzņēmumiem, kas vēlas izvairīties no aparatūras pārvaldības, saglabājot ekskluzīvu kontroli pār savām atslēgām.

Izvēle starp šiem režīmiem tieši nosaka sasniedzamo atbilstības līmeni saskaņā ar eIDAS 2.0 regulējumu, īpaši kvalificētiem parakstiem (QES), kas prasa kvalificētu parakstīšanas ierīci (QSCD) — sertificēts HSM ir ideāls QSCD.

Privāto atslēgu dzīves cikls HSM ietvaros

Reālā HSM vērtība slēpjas tā spējā pārvaldīt visu kriptografisko atslēgu dzīves ciklu bez tā, ka privātā atslēga kādreiz "izietu" skaidri no tā materiālā perimetra.

Atslēgu ģenerēšana un ievietošana

Atslēgu ģenerēšana HSM iekšienē ir fundamentāla. Jebkura atslēga, kas ģenerēta ārpusē un pēc tam importēta, rada atlikušo risku, kas saistīts ar tās pārvietošanu nekontrolētā vidē. Labas prakses prasības tāpēc nozīmē:

• Atslēgu pāra (publiskā/privātā) ģenerēšana tieši HSM ietvaros, izmantojot integrēto TRNG.
• Privātā atslēga nekad neopieties HSM materiālā perimetra — pat sistēmas administratoriem nav piekļuves skaidri.
• Publiskā atslēga, vienīgi, tiek eksportēta, lai to integrētu X.509 sertifikātā, ko izdod sertifikācijas iestāde (CA).

Daži protokoli, piemēram PKCS#11 (standarts OASIS) vai JCE (Java Cryptography Extension), ļauj uzņēmuma lietotnēm izsaukt HSM kriptografiskās operācijas caur standartizētiem API izsaukumiem, nekad tieši nemanipulējot ar atslēgām.

Kriptografiskās operācijas: paraksts, atšifrēšana, atvasināšana

Kad lietotājs paraksta dokumentu, iespējams šāds tehnisks plūsma:

1. Lietotnē aprēķina dokumenta ciparciparu nospiedumu (hash), izmantojot jaucējuma funkciju (SHA-256 vai SHA-384).
2. Jaucējums tiek nosūtīts uz HSM caur PKCS#11 vai CNG (Cryptography Next Generation Windows vidē).
3. HSM paraksta jaucējumu iekšienē ar privāto atslēgu RSA-2048 vai ECDSA P-256, atkarībā no konfigurācijas.
4. Digitālais paraksts tiek atgriezts lietotnei — nekad ne pati atslēga.

Šis melnās kastes darbības princips garantē, ka pat pilnīga programmatūras servera kompromitācija neļauj uzbrucējam iegūt privāto atslēgu.

Atslēgu glabāšana, rotācija un iznīcināšana

Pilnīgs atslēgas dzīves cikls ietver:

• Šifrēta glabāšana: atslēgas var eksportēt šifrētā formā (Wrapped Key), izmantojot atslēgas šifrēšanas atslēgu (KEK), kura pati tiek glabāta citā galvenajā HSM — princips no Key Ceremony, ko dokumentē CA.
• Periodiska rotācija: ieteicama reizi 1-3 gadus atkarībā no sertifikātu dzīves ilguma un riska līmeņa. Regulējums eIDAS 2.0 un ETSI TS 119 431 politikas noteic šos termiņus TSP.
• Atcelšana un iznīcināšana: dzīves beigas laikā atslēga tiek iznīcināta ar zeroization — neatgriezeniska operācija, kas garantē, ka rekonstrukcija nav iespējama.

Organizācijām, kas vēlas saprast, kā kvalificētas elektroniskās parakstīšanas ir balstītas uz šiem mehānismiem, HSM ir QSCD tehniskais kodols saskaņā ar eIDAS.

Kriptografiskos protokolus un standartus, ko atbalsta HSM

Moderns uzņēmuma HSM atbalsta plašu primitīvu un kriptografisko protokolu katalogu.

Asimetriski un simetriski algoritmi

| Ģimene | Parastie algoritmi | Tipisks lietojums | |---|---|---| | Asimetriska | RSA-2048/4096, ECDSA P-256/P-384, Ed25519 | Digitāls paraksts, atslēgu apmaiņa | | Simetriska | AES-128/256-GCM, 3DES (legacy) | Datu šifrēšana, atslēgu iepakošana | | Jaucējums | SHA-256, SHA-384, SHA-512 | Integritāte, dokumenta nospiedums | | Pēckvantu (PQC) | CRYSTALS-Kyber, CRYSTALS-Dilithium (NIST FIPS 203/204) | Kriptografiska pāreja 2026+ |

Pēckvantu algoritmu (PQC) integrācija ir karstākais temats: NIST 2024. gadā pabeiguši pirmos PQC standartus (FIPS 203, 204, 205), un vairāki HSM ražotāji (Thales, nCipher/Entrust, Utimaco) jau 2026. gadā piedāvā programmatūru, kas atbalsta šos algoritmus hibrīdajā režīmā RSA+Kyber.

Saskarnes un integrācijas protokoli

HSM integrācijas ekosistēma balstās uz vairākiem atvērtiem standartiem:

• PKCS#11: plaši izplatītā C API saskarne, ko atbalsta OpenSSL, EJBCA un lielākā daļa Java lietotņu serveru.
• Microsoft CNG/KSP: sākotnēja integrācija Windows Server / Active Directory Certificate Services vidē.
• KMIP (Key Management Interoperability Protocol): OASIS standarts centralizētai atslēgu pārvaldībai starp dažādiem HSM — īpaši noderīgs multi-cloud arhitektūrās.
• Patstāvīgas REST API: moderni mākoņa HSM pieeja REST API DevOps integrācijai (Infrastructure as Code, Terraform providers).

Šo saskarņu apguves ir nepieciešams nosacījums, lai integrētu HSM elektroniskas parakstīšanas platformā uzņēmumiem ar lielu parakstu skaitu.

HSM izvēles kritēriji B2B uzņēmumiem 2026. gadā

Ņemot vērā daudzveidīgo tirgus piedāvājumu, vairāki objektīvi kritēriji var vadīt pirkuma lēmuma pieņemšanu vai HSM-as-a-Service abonementa pieņemšanu.

Sertifikācijas līmenis un normatīvā atbilstība

Lietošanai elektroniskā paraksta kvalificēta (eIDAS) vai bankā pakļautajos procesos PSD2/DSP2:

• FIPS 140-3 3. līmenis minimums sensitīviem personas vai finanšu datiem.
• Common Criteria EAL 4+ sertifikācija ar aizsardzības profilu EN 419221-5 eIDAS QSCD — tas ir eiropas uzticamas sarakstu (ETSI TS 119 612) atskaites standarts.
• ANSSI kvalifikācija franču entitātēm, kas pakļautas specifiskiem nozarei noteiktiem regulējumiem (aizsardzība, nozīmīgas infrastruktūras operatori).

Darbietilpība, augstā pieejamība un TCO

Augstākā klases tīkla HSM (Thales Luna Network HSM 7, Entrust nShield Connect XC) parāda tūkstošiem RSA-2048 operāciju sekundē, ar aktīvi-aktīvi konfigurācijām augstai pieejamībai. 5 gadu TCO uz-premise HSM ietver: aparatūru, apkopi, kvalificētu personālu un Key Ceremonies pārvaldību — elementi, kas Cloud HSM dara pievilcīgāku maziem un vidējiem uzņēmumiem.

Organizācijām, kas novērtē savu elektroniskās parakstīšanas infrastruktūras kopējās investīciju atmaksas, izmantošana īpaša elektroniskās parakstīšanas ROI kalkulatora ļauj precīzi aprēķināt operatīvos ieguvumus, kas saistīti ar HSM drošību.

Atslēgu valdību un piekļuves kontrole

HSM ir tikpat vērtīgs, cik laba ir tā valdība:

• M-of-N princips: jebkura sensitīva operācija (atslēgas ģenerēšana, inicializācija) prasa vienlaikus M administratoru klātbūtni no N apzināti — tipiski 3 no 5.
• Nemainīgi revīzijas žurnāli: katra kriptografiskā operācija tiek izsekota laika apzīmogotajos un parakstītajos žurnālos, RGPD prasība (5.2. pants, atbildība) un ETSI atsauces materiālu prasība.
• Lomu atdalīšana: HSM administrators, atslēgu operators un auditors ir atšķirīgi lomai — atbilstoši ETSI EN 319 401 sertifikācijas politiku prasībām.

Izpratne par eIDAS 2.0 regulējumu prasībām ir nepieciešama, lai pareizi kalibrētu atslēgu valdību kvalificētas parakstīšanas kontekstā Eiropā.

Juridisks regulējums, kas attiecas uz HSM šifrēšanu uzņēmumā

HSM izvietošana kriptografisko atslēgu pārvaldībai ietilpst blīvā normatīvajā likumakstā, kas atrodas elektroniskās parakstīšanas, datu aizsardzības un kiberdrošības krustpunktā.

Regulējums eIDAS Nr. 910/2014 un eIDAS 2.0 revīzija

Regulējums eIDAS nosaka tehniskos un juridiskos nosacījumus kvalificētajiem elektroniskajiem parakstiem (QES). Tā 29. pants prasa, ka kvalificētu parakstīšanas ierīču (QSCD) garantētu privātās atslēgas konfidencialitāti, tās unikalitāti un iespējamību to atvasināt. Šos tehniskos prasības var apmierināt tikai ar sertificētu HSM saskaņā ar EN 419221-5 aizsardzības profilu vai līdzvērtīgu. eIDAS 2.0 revīzija (Regulējums UE 2024/1183, spēkā kopš 2024. maija) pastiprināti šos pienākumus, ieviešot Eiropas digitālās identitātes portfeli (EUDIW), kas arī balstīts uz QSCD sertificētajiem.

Piemērojamie ETSI standarti

ETSI normu ģimene precīzi reglamentē uzticības pakalpojumu sniedzēju (TSP) praksi:

• ETSI EN 319 401: vispārējās drošības prasības TSP, tostarp HSM pārvaldību un lomu atdalīšanu.
• ETSI EN 319 411-1/2: sertifikācijas politiku un praksi kvalificētu sertifikātu izdošanas CA.
• ETSI EN 319 132: XAdES profils elektroniskai parakstīšanai — parakstīšanas operācijas izmanto HSM.
• ETSI TS 119 431-1: specifiskas prasības attālinātas parakstīšanas pakalpojumiem (Remote Signing), kur HSM ir TSP darbināts klientam.

Francijas Civīlkodekss (1366.-1367. pants)

1. pants atzīst elektroniskā raksta juridisko vērtību, ja ir iespējams identificēt tā autoru un garantēta tā integritāte. 1367. pants elektroniskos parakstus ar kvalifikāciju pielīdzina rokaraksta parakstiem. Privātās atslēgas aizsardzība ar HSM ir tehniskais mehānisms, kas dara šo atbildības prezumpciju neatšķiramību tiesās.

GDPR Nr. 2016/679

Ja HSM apstrādā atslēgas, kas saistītas ar fizisku personu identitāti (nominatīvi kvalificēti sertifikāti, audita žurnāli, tostarp identifikācijas dati), GDPR pilnīgi piemēro. 25. pants (dizains privātumam) paredz datu aizsardzības integrāciju jau no projektēšanas — HSM atbild šai prasībai, padara tehniski neiespējamu piekļuvi privātajām atslēgām ārpus noteiktā operatīvā ietvara. 32. pants prasa piemērot atbilstošus tehniskus pasākumus: HSM ir labākā prakse kriptografiskā aizsardzības jomā.

NIS2 direktīva (UE 2022/2555)

Transponēta franču likumā 2025. gada 15. aprīlī, NIS2 direktīva nosaka būtiskiem un svarīgiem operatoriem (OES/OEI) īstenot riska pārvaldības pasākumus, tostarp izskaidri kriptografiskā piegādes ķēdes drošību. Resorts uz sertificētiem HSM privāto atslēgu aizsardzībai parakstīšanas un šifrēšanai tieši ietilpst šajā ietvarā, īpaši veselības, finanšu, enerģijas un ciparu infrastruktūras sektoros.

Atbildība un juridiskie riski

Privātās atslēgas kompromitācija, kas rezultāts no HSM neesamības vai nepietiekamas konfigurācijas, var piesaistīt civilo un sodu atbildību, pakļaut organizāciju CNIL sankcijām (līdz 4 % no pasaules pieauguma) un atpakaļ atspēkot visus parakstus, kas izsniegti ar kompromitēto atslēgu. HSM operāciju žurnalizācijas neesamība ir raksturīga neatbilstība ETSI un GDPR atsaucēm.

Lietošanas scenāriji: HSM darbībā B2B uzņēmumos

1. scenārijs — Kvalificēts parakstīšanas platformu rūpniecības grupu ar vairākām vietām

Eiropas rūpniecības grupa ar 15 filiālēm un apmēram 4000 piegādātāja kontraktiem gadā nolemj centralizēt savu elektroniskās kvalificētās parakstīšanas ķēdi. Drošības komanda izvietoja divus HSM tīkla moduli aktīvi-aktīvi konfigurācijā divos dažādos datu centros (ģeogrāfiskā noturības stratēģija). Katra juridiskā entitātes kvalificētu parakstīšanas atslēgas tiek ģenerētas un glabātas ekskluzīvi HSM ietvaros, pieejamas caur PKCS#11 saskarni, kas izstādes uz SaaS parakstīšanas platformu.

Rezultāti, ko novērot pēc 12 mēnešiem: nulle drošības incidenti, kas saistīti ar atslēgu pārvaldību, pilnīga atbilstība eIDAS revīzijai, ko veica akreditēti sertifikācijas novērtēšanas orgāni (CAB), un 67 % samazinājums vidējā parakstīšanas līguma laika (no 8,3 dienām vidēji uz 2,8 dienām). Kopējās HSM izvietošanas izmaksas atmaksājās 14 mēnešos pateicoties produktivitātes pieaugumam un paliekošo papīra procesu likvidēšanai.

2. scenārijs — Juridisks konsultācijas kabinets un klientu pilnvaru parakstīšana

Juridiski konsultācijas kabinets ar 45 līdzstrādniekiem, apstrādājot sapludināšanas, iegādes un civilvēlēšanās lietas, meklē parakstīšanas pilnvaru, uzdevuma vēstuļu un procesuālo dokumentu drošību. Saskaroties ar neiespējamību izmantot uz-premise HSM (neesamība dedikētas IT komandas), kabinets abonē Cloud HSM pakalpojumu, kas integrēts juridiskiem kabinetiem paredzētajā elektroniskās parakstīšanas risinājumā.

Katrs partneri ir sertificēts atslēgas privāto atslēgu glabāšanu pakalpojuma sniedzēja dedikētajā HSM, sertificēts FIPS 140-3 3. līmeni un iekļauts Eiropas uzticamas sarakstā. Kabinets gūst pilnīgu operāciju izsekojamību (laika apzīmogotie žurnāli, eksportējami pierādījuma vajadzības), bez jebkādas aparatūras infrastruktūras pārvaldības. Administrācijas laika samazinājums dokumentu pārvaldībā tiek novērtēts 3,5 stundām uz darbinieku nedēļā saskaņā ar salīdzinājuma etalonu nozarē salīdzinājumam līdzīgiem kabinetiem.

3. scenārijs — Veselības aprūpes iestāde un e-receptes elektroniskā parakstīšanas datu aizsardzība

Slimnīcu grupa ar aptuveni 1200 gultņiem ievieso drošu e-recepti (e-prescription) saskaņā ar ANS (Santé Numérique Agency) prasībām un Mon Espace Santé ietvaru. Receptes jāparaksta ar veselības aprūpes profesionāla sertifikātu (CPS), kura privātā atslēga nekādi nevar tikt pakļauta praktiķu darbdarbnīcu datoriem.

DSI izvietoja HSM, kas sertificēts Common Criteria EAL 4+ savā identitātes pārvaldības infrastruktūrā (IGC). Ārstu CPS atslēgas tiek glabātas HSM ietvaros; praktiķi autentificējās caur smartcart + PIN, lai aktivizētu parakstīšanas darbību, kas delegēta HSM. Šis mehānisms, kas atbilst eIDAS regulējumam un ETSI standartiem, samazina par 89 % atslēgas zādzības risku salīdzinājumā ar programmatūras glabāšanu datorā un ļauj centralizētu atcelšanu mazāk nekā 5 minūtēs, ja darbinieks ir aizgājis vai zaudējis karti.

Secinājums

HSM šifrēšana ir būtisks pamats jebkurai kvalificētas elektroniskās parakstīšanas infrastruktūrai un drošai privāto atslēgu pārvaldībai uzņēmumā. Kombinējot materiālā izolāciju, pierādītus kriptografiskos algoritmus, striktu atslēgu valdību un atbilstību FIPS 140-3, Common Criteria un ETSI standartiem, HSM nodrošina nepārliecinošu aizsardzības līmeni pret aktuālajiem draudiem un Eiropas normatīvajām prasībām. Neatkarīgi no tā, vai izvēlēties on-premise izvietošanu, PCIe karti vai pārvaldītu Cloud HSM, būtiskais ir saskaņot savu izvēli ar riska pakļautības līmeni un eIDAS, GDPR un NIS2 juridiskajiem pienākumiem.

Certyneo sākotnēji integrē sertificētus HSM savā elektroniskās parakstīšanas infrastruktūrā, ļaujot jums gūt šo uzņēmuma līmeņa drošību bez operatīvās sarežģītības. Gatavs nodrošināt dokumentu plūsmas ar atbilstošu un sertificētu risinājumu? Sāciet bez maksas uz Certyneo vai skatiet mūsu cenas, lai atrastu jūsu organizācijai piemērotu piedāvājumu.