HSM vs TPM: kāda ir atšķirība un kuru izvēlēties?

Ievads: divi moduļi, divas drošības filosofijas

Kriptogrāfijas un ciparu atslēgu aizsardzības jomā divas tehnoloģijas pastāvīgi parādās DSI un RSSI diskusijās: HSM (Hardware Security Module) un TPM (Trusted Platform Module). Šie divi aparatūras ierīces ir kopīgs mērķis — aizsargāt sensitīvas kriptogrāfiskas operācijas — bet to arhitektūra, lietošanas gadījumi un sertifikācijas līmenis būtiski atšķiras. Abu sajaukšana var izraisīt nederīgas infrastruktūras izvēles, pat normatīvo atbilstības nepilnības. Šis raksts sniedz jums atslēgas, lai izprastu HSM vs TPM atšķirību, noteiktu, kad lietot vienu vai otru, un pieņemtu labāko lēmumu savai organizācijai 2026. gadā.

---

Kas ir HSM (Hardware Security Module)?

Hardware Security Module ir aparatūras ierīce, kas speciāli izstrādāta kriptogrāfisko atslēgu ģenerēšanai, glabāšanai un pārvaldei fiziski un loģiski drošā vidē. Tas ir autonoms komponents — bieži vien PCIe karšu, tīkla aparatūras vai mākoņa pakalpojuma (HSM as a Service) formā — kura galvenais mērķis ir izpildīt augstjaudas kriptogrāfiskas operācijas, neeksponējot atslēgas ārpus moduļa.

HSM tehniskās īpašības

HSM ir sertificēti pēc striktu starptautisku standartu, jo īpaši FIPS 140-2 / FIPS 140-3 (līmeņi 2, 3 vai 4), ko publicējusi amerikāņu NIST un Common Criteria EAL4+ saskaņā ar ISO/IEC 15408 normu. Šie sertifikāti ietver fiziskās pretuzbrukuma mehānismus (tamper-resistance), iebrukuma detektorus un atslēgu automātisku iznīcināšanu kompromitācijas mēģinājuma gadījumā.

Tipiskam HSM ir:

• Augsta jaudas apstrāde: līdz vairākiem tūkstošiem RSA vai ECDSA operāciju sekundē
• Multi-tenancy: simtiem neatkarīgu kriptogrāfisko nodalījumu pārvaldība
• Standartizēti saskarņi: PKCS#11, Microsoft CNG, JCA/JCE, OpenSSL engine
• Pilnīgs revīzijas žurnāls: katras operācijas nemainīga reģistrēšana

Tipiski HSM lietošanas gadījumi

HSM ir kvalificētas elektroniskās parakstīšanas kodols saskaņā ar eIDAS regulējumu, kur parakstītāja privātā atslēga ir jāģenerē un jāglabā kvalificētā paraksta izveides ierīcē (QSCD). Tie arī aprīko sertifikātu iestādes (CA/PKI), maksājumu sistēmas (HSM saskaņā ar PCI-DSS), datu bāzes šifrēšanas infrastruktūru un videi draudzīgas veidošanas vides. Elektronisks parakstiita uzņēmumā gandrīz vienmēr paļaujas uz HSM, kas sertificēts kā QSCD, lai garantētu maksimālo juridisko parakstu vērtību.

---

Kas ir TPM (Trusted Platform Module)?

Trusted Platform Module ir drošības čips, kas tieši integrēts datora, servera vai savienota objekta pamatplatē. Standartizēts Trusted Computing Group (TCG), kura TPM 2.0 specifikācija arī ir normalizēta saskaņā ar ISO/IEC 11889:2015, TPM ir izstrādāts platformas paša drošībai nevis kā centralizēts kriptogrāfiskais pakalpojums.

TPM arhitektūra un darbības princips

Atšķirībā no HSM, TPM ir vienas mašīnas komponents, kas saistīts ar konkrētu aparatūru. To nevar pārvietot vai dalīt starp vairākām mašīnām. Tā galvenās funkcijas ietver:

• Sāknēšanas integritātes mērīšanu (Secure Boot, Measured Boot) caur Platform Configuration Registers (PCR)
• Atslēgu glabāšanu, kas saistīta ar platformu: TPM ģenerētās atslēgas var izmantot tikai mašīnā, kas tās izveidoja
• Kriptogrāfiskas nejaušības ģenerēšanu (RNG)
• Attālo apstiprinājumu: pierādīt attālinātam serverim, ka platforma atrodas zināmā uzticības stāvoklī
• Skaļuma šifrēšanu: BitLocker uz Windows, dm-crypt ar TPM uz Linux tieši paļaujas uz TPM

TPM ierobežojumi uzņēmuma augstākam lietojumam

TPM 2.0 ir sertificēts ar FIPS 140-2 1. līmeņa labākajā gadījumā, kas ir daudz zemāks nekā profesionālo HSM FIPS 140-3 3. līmenis. Tā kriptogrāfiskās apstrādes jauda ir ierobežota (dažas desmitnieki operāciju sekundē), un tas neatbalsta PKCS#11 vai CNG saskarnes tik pilnvērtīgi kā dedikēts HSM. Elektroniskajai parakstīšanai ar augsto vai kvalificēto līmeni, TPM vien parasti ir nepietiekams saskaņā ar eIDAS pielikuma II prasībām uz QSCD.

---

Galvenās HSM vs TPM atšķirības: salīdzinājuma tabula

Lai izprastu HSM vs TPM Trusted Platform Module atšķirību, jāsalīdzina strukturēti nosakošie kritēriji.

Sertifikācijas līmenis un drošības garantija

| Kritērijs | HSM | TPM | |---|---|---| | FIPS sertifikācija | 140-3 2. līdz 4. līmenis | 140-2 1. līmenis | | Common Criteria | EAL4+ līdz EAL7 | EAL4 | | eIDAS QSCD kvalifikācija | Jā (piem., Thales Luna, Utimaco) | Nē | | Fiziskā pretuzbrukuma aizsardzība | Progresīva (pašnīcināšana) | Pamatvienkārša |

Jaudas, mērogojamības un integrācijas aspekti

HSM ir multi-lietotāju un multi-aplikāciju ierīces: viena tīkla aparatūra var vienlaicīgi servisēt simtus klientu, lietojumprogrammu un pakalpojumu caur PKCS#11 vai REST API. Tie integrējās augstās pieejamības arhitektūrās (aktīvi-aktīvu klasteros) un atbalsta industriālu kriptogrāfisko caurlaidību.

TPM, pretēji, ir vienas mašīnas un viena īpašnieka komponenti pēc sākotnējā dizaina. Tas spīd darba vietas drošībā, Windows Hello for Business piekļuves uzraudzībā un mikroprogrammatūras integritātē. Elektroniskajai parakstīšanai dokumentu vadības darbplūsmās TPM nevar kalpot kā koplietots kriptogrāfiskais pakalpojums.

Izmaksas un izvietošana

Uzņēmuma klases tīkla HSM (Thales Luna Network HSM, Utimaco SecurityServer, AWS CloudHSM) ir 15 000 € līdz 80 000 € investīcija uz vietas, vai 1,50 € līdz 3,00 € stundā mākoņa vadītā režīmā saskaņā ar pakalpojumu sniedzējiem. TPM turpretim ir integrēts bez papildu izmaksām gandrīz visos profesionālajos datoriskajos aparātos, serveros un iegultajos sistēmās kopš 2014. gada (obligāts Windows 11 kopš 2021).

---

Kad lietot HSM, kad lietot TPM uzņēmumā?

Atbilde uz šo jautājumu atkarīgs no jūsu operacionālā konteksta, normatīvo pienākumu un IT sistēmas arhitektūras.

HSM izvēle:

• Iekšējās PKI izvietošana: jūsu sertifikātu iestādes saknes atslēgas ir jāglabā HSM sertificētajā, lai iegūtu pārlūku uzticību (CA/Browser Forum Baseline Requirements)
• Kvalificēto elektronisko parakstu izsniegšana: saskaņā ar eIDAS regulējuma 910/2014 pielikuma II, QSCD ir jābūt sertificētiem pēc EAL4+ līdzīgiem standartiem; elektroniskas parakstīšanas risinājumu salīdzinājums detalizē šīs prasības
• Liela apjoma finanšu transakciju drošība: PCI-DSS v4.0 standardi (3.6. sadaļa) prasa karšu datu šifrēšanas atslēgu aizsardzību HSM
• Datu bāzes vai mākoņa šifrēšana: AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM ļauj saglabāt atslēgu kontroli (BYOK / HYOK)
• Koda parakstīšana un CI/CD integrācijas darbības: programmatūras artefaktu parakstīšana drošas piegādes ķēdes nolūkos prasa HSM

TPM izvēle:

• Darba vietu un serveru sāknēšanas drošība: Secure Boot + Measured Boot + TPM 2.0 distanta apstiprinājums veido Zero Trust pamatu
• Disks pilnīgi šifrēts: BitLocker ar TPM aizsargā datus bez ārēja pakalpojuma atkarības
• Aparatūras autentifikācija: Windows Hello for Business izmanto TPM privātās autentifikācijas atslēgas glabāšanai
• NIS2 atbilstība: direktīva NIS2 (ES 2022/2555), transponēta Francijas tiesībās, prasa proporcionālas tehniskās pasākumus; TPM tiešā veidā sekmē aparatūras drošības nodrošināšanu
• Rūpnieciskās IoT projekti: iegultie TPM rūpniecības automatikā un SCADA sistēmās nodrošina atjauninājumu bez dedikētas HSM infrastruktūras

Hibrīdās HSM + TPM arhitektūras

Lielos uzņēmumos HSM un TPM neopozējas: tie papildina viens otru. Serveris ar TPM 2.0 var apstipot tā integritāti centralizētu pārvaldības pakalpojumam, kamēr metnes kriptogrāfiskās operācijas (parakstīšana, datu šifrēšana) tiek deleģētas HSM klasterim. Šo arhitektūru iesaka ANSSI savā pamatnostādnē par uzticības pakalpojumu sniedzēju risku pārvaldību (PSCE). Skatīt elektroniskas parakstīšanas glosāriju, lai tehniskās komandas harmonizētu terminoloģiju šīs arhitektūras definēšanā.

HSM un TPM piemērojamais tiesiskais un normatīvais rāmis

Izvēle starp HSM un TPM tieši ietekmē jūsu organizācijas atbilstību vairākiem Eiropas un starptautiskiem regulatīviem pamatnostādnēm.

Regulējums eIDAS 910/2014 un eIDAS 2.0 (Eiropas Savienības regulējums 2024/1183)

Regulējuma eIDAS 29. pants nosaka, ka elektroniskos parakstus jāizveido, izmantojot Qualified Signature Creation Device (QSCD), kas definēts pielikumā II. Šiem ierīcēm ir jāgarantē privātā atslēga, tās unikālums un neviendabīga drošība. QSCD saraksts tiek publicēts nacionālo akreditācijas aģentūru (Francijā: ANSSI). FIPS 140-3 3. līmenim atbilstoši sertificēti HSM vai Common Criteria EAL4+ atrodas šajos sarakstos; TPM tur neatrodas. Paraksta pakalpojuma sniedzējs Certyneo paļaujas uz sertificētiem HSM, lai garantētu maksimālo parakstu pierādījuma vērtību.

Francijas Civilkodekss, 1366. un 1367. artikuli

1. artikuls atzīst elektroniskā dokumenta juridisko vērtību "ar nosacījumu, ka tā avots ir pienācīgi identificējams un tas ir izveidots un glabāts apstākļos, kas garantē tā integritāti". 1367. artikuls skaidro uzticama elektroniskā paraksta nosacījumus, netiešā veidā atsaucoties uz eIDAS prasībām kvalificētiem parakstiem.

GDPR 2016/679, 25. un 32. artikuli

Privacy by design princips (25. artikuls) un atbilstošo tehnisko pasākumu obligācija (32. artikuls) prasa kriptogrāfisko atslēgu aizsardzību, ko izmanto personas datu šifrēšanai. HSM sertificēts risinājums ir state of the art (saskaņā ar GDPR preambuli 83) tehnisks pasākums atbilstības demonstrēšanai CNIL revīzijas laikā.

Direktīva NIS2 (ES 2022/2555), transponēta Francijā

Direktīva NIS2, spēkā no 2024. oktobra, prasa 21. pantā riska pārvaldības pasākumus, tostarp programmatūras apgādes ķēdes drošību un šifrēšanu. HSM tieši atbilst šīm prasībām kritisku operāciju gadījumā, kamēr TPM sekmē posma drošību.

ETSI normas

Norma ETSI EN 319 401 (vispārīgās prasības uzticības pakalpojuma sniedzējiem) un ETSI EN 319 411-1/2 (prasības CA, kas izsniedz kvalificētus sertifikātus) prasa atslēgu glabāšanu sertificētos HSM. Norma ETSI EN 319 132 (XAdES) un ETSI EN 319 122 (CAdES) nosaka paraksta formātus, kas pieņem sertificētu drošo moduļu izmantošanu.

ANSSI ieteikumi

ANSSI publicē RGS (Ģenerālo drošības pamatnostādni) un pamatnostādnes par HSM, ieteicot sertificētu moduļu izmantošanu jebkurai svarīgai PKI infrastruktūrai valsts aģentūrās un OIV/OSE. Šo ieteikumu nepildīšana var būt NIS2 pienākumu pārkāpums attiecīgajam subjektiem.

Lietošanas scenāriji: HSM vai TPM atkarībā no konteksta

Scenārijs 1: finanšu aktīvu pārvaldības uzņēmums ar iekšējo PKI

Finanšu aktīvu pārvaldības uzņēmums, kurš pārvalda vairākus miljardus eiro, ir jāparakstā elektroniskā veidā normatīvie ziņojumi (AIFMD, MiFID II) un investīciju līgumi ar kvalificētu juridisko vērtību. Tas izvietojas iekšējo PKI, kuru sākotnējās (Root CA) un starpposma (Issuing CA) atslēgas tiek aizsargātas divos tīkla HSM klasterī ar augstu pieejamību, sertificēti FIPS 140-3 3. līmenim. Kvalificēti sertifikāti tiek izsniegti partneriem HSM saskaņā ar eIDAS QSCD. Rezultāts: 100 % parakstiem ir kvalificēta vērtība, AMF normatīvā revīzija apstiprina atbilstību, un dokumentu parakstīšanas laiks samazinās no 4 dienām uz mazāk nekā 2 stundām. HSM infrastruktūras izmaksas ir atmaksātas mazāk nekā 18 mēnešos salīdzinājumā ar neatbilstības riskiem.

Scenārijs 2: 150 darbinieku rūpniecisko mazā un vidējā uzņēmuma darbvietu drošības nodrošināšana

Mazs rūpniecības uzņēmums, kas ir Militāro gaisa transporta 2. pakāpes piegādātājs, kas pakļauts CMMC un NIS2 prasībām, ir jādrošina 150 Windows darbvietas pret jutīgu tehnisko datu nozaudēšanu. RSSI izvietojas BitLocker ar TPM 2.0 visam parkam, kopā ar Windows Hello for Business autentifikācijai bez paroles. Attālā atestācija caur TPM tiek integrēta MDM risinājumā (Microsoft Intune). Šajā kontekstā HPM nav nepieciešams: Dell un HP iegultie TPM ir pietiekami. Rezultāts: fiziskas darbvietas nozaudēšanas datu noplūdes risks ir praktiski nulle, uzņēmuma kibernozaudēšanas brieduma rezultāts pieaug par 40 % pēc CMMC pašnovērtējuma. Papildu izmaksas: 0 € (TPM jau integrēts mašīnās).

Scenārijs 3: multi-klientu elektroniskas parakstīšanas SaaS platformas operators

SaaS operators, kurš sniedz elektroniskas parakstīšanas pakalpojumus simtiem klientu, ir jāgarantē kriptogrāfiskā izolācija starp klientiem un eIDAS kvalifikācija. Tas izvietojas arhitektūru, kas balstīta uz HSM mākoņa dedikētajā režīmā (AWS CloudHSM vai Thales DPoD), ar HSM nodalījumu uz lielu tenanta un kopējo fondu maziem klientiem. Katrs klients izmanto neatkarīgas atslēgas savā noda­lījumā, kas revīzijas veidā neatkarīgi. TPM aprīko lietojumprogrammu serverus, lai apstiprinājums platformas integrācijas atestāciju eIDAS sertifikācijas revīzijas laikā. Rezultāts: operators iegūst QTSP kvalifikāciju pie ANSSI, ļaujot izsniedgt kvalificētus parakstus. HSM as a Service modelis samazina izmaksas par 60 % salīdzinājumā ar vietas risinājumiem pēc industrijas etalon-salīdzinājumiem.

Secinājumi

Atšķirība starp HSM un TPM ir fundamentāla: HSM ir kopīgts kriptogrāfiskais pakalpojums, augstjaudas un multi-aplikāciju orientēts, būtisks PKI, eIDAS kvalificētiem parakstiem un liela mēroga PCI-DSS vai NIS2 atbilstībai. TPM ir drošības komponents, kas saistīts ar konkrētu aparatūru, ideāls posmu drošībai, drošam sāknēšanai un lokālai autentifikācijai. 2026. gada lielākajā daļā uzņēmuma arhitektūras abi pastāv ar papildinošiem un neaizstājamiem lomuļiem.

Ja jūsu organizācija meklē kvalificētas elektroniskas parakstīšanas risinājumu, kas balstīts uz sertificētu HSM infrastruktūru bez iekšējās tehniskās sarežģītības, Certyneo piedāvā gatavs SaaS platformu, eIDAS un GDPR atbilstīgu. Uzziniet Certyneo cenas vai sazinies ar mūsu ekspertiem kriptogrāfisko vajadzību auditu nolūkos.