
Jūsu parakstītos dokumentus aizsargājiet ar TLS šifrēšanu
TLS šifrēšana ir kļuvusi obligāta, lai aizsargātu jūsu elektronski parakstītos dokumentus. Atklājiet labākās prakses jūsu dokumentu plūsmu drošībai atbilstoši eIDAS.
HSM (Hardware Security Module, latviski drošuma matēriālo moduļu) ir elektroniska ierīce, kuru nevar pārkāpt, kas ģenerē, saglabā un izmanto kriptografiskās atslēgas, nekad tās neatklājot ārpus kastes. Tas ir matēriālo komponents, kas padara iespējamu elektronisko kalibrēto parakstu (QES) eIDAS regulas izpratnē, publiskās atslēgas šifrēšanu (PKI), sertifikācijas iestādes (CA) uzticības sakni, un vispārīgi jebkuru kriptografisko darbību, kas pieprasa fizisku un loģisku nedalāmības garantiju. Šis ceļvedis skaidro, kas konkrēti ir HSM, kam tas kalpo, kā tas ir sertificēts (FIPS 140-2, FIPS 140-3, Common Criteria EAL4+), un kā tas atšķiras no TPM vai tīri programmatūras KMS.
HSM ir matērialā kaste (1U skaņa, PCIe karte, USB atslēga vai tīkla aparāts), kas izpilda kriptografiskās darbības (atslēgu ģenerēšana, parakstīšana, šifrēšana, atšifrēšana, jaukšana) noslēgtā fiziskas drošības enklavē. Privātā atslēga nekad neatstāj HSM: jebkurš fiziskas ekstrakcijas mēģinājums aktivizē tūlītu dzēšanu (tamper response). Kaste ir konstruēta, lai izturētu sānu kanāla uzbrukumus (elektroenerģijas patēriņa analīze, elektromagnētiskās emanācijas, sprieguma traucējumi), kļūdu injekcijas uzbrukumus (fault injection) un pēc elektroniskā mikroskopu novērošanas.
Konkrēti, lietotne, kas vēlas parakstīt dokumentu, nosūta HSM dokumenta ietīles vietu (SHA-256 hash) caur standartizētu API (PKCS#11, KMIP, CNG, JCE). HSM paraksta heš ar privāto atslēgu, kas iedzīvo tikai viņa enklavē, tad atgriež parakstu. Parakstītais dokuments satur parakstu un atbilstošo publisko sertifikātu — bet privātā atslēga paliek nedalāmi aizsargāta. Tas ir tas, kas atšķir eIDAS kalibrētu parakstu (QES, HSM bāzēts pie kalibrēta pakalpojuma sniedzēja) no vienkāršā paraksta (SES, bez matēriālo ierobežojumiem) vai paaugstināta (AES, ar parakstītāja kontrolētu atslēgu).
HSM nav vispārēja patēriņa ērtība: tas ir nepieciešams, tiklīdz normatīvais akts, standarts vai līgums prasa materiālu garantiju par atslēgu neaizskaramību.
Eiropas Savienības Regulējums eIDAS (ES 910/2014) nosaka, ka kvalificēts paraksts jāģenerē ar sertificētu kvalificēta paraksta izveides ierīci (QSCD) — praktiski HSM, sertificēts saskaņā ar EN 419 221-5 vai Common Criteria EAL4+. Tā ir kvalificēta uzticamības pakalpojuma sniedzēja (QTSP) HSM, kurā atrodas parakstītāja privātā atslēga un tiek izpildīts paraksts.
HSM pārvalda galvenās šifrēšanas atslēgas (Key Encryption Keys, KEK), kas šifrē datu bāzu, disku (BitLocker, LUKS) vai rezerves kopiju šifrēšanas atslēgas. Tipisks gadījums: PCI-DSS atbilstība maksājumu apstrādātājiem, HIPAA / HDS veselības datiem, slepenumam paredzētām iestādēm.
Jebkura sertifikācijas iestāde (CA) — saknes, starpposma vai izdevēja — izmanto HSM, lai ģenerētu un izmantotu atslēgu, kas paraksta X.509 sertifikātus. Publiskas CA (Let's Encrypt, DigiCert, Sectigo) vai privātas uzņēmuma (Active Directory CS, ADFS) saknes atslēgai jāatrodas sertificētā HSM.
Mākoņa platformas (AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM) piedāvā kopīgi izmantotus vai dedikētus HSM atslēgu dzīves cikla pilnīgai pārvaldībai: ģenerēšana, rotācija, atvasināšana, arhivēšana, iznīcināšana. Priekšrocība salīdzinājumā ar tīri programmatūras KMS: neviendabības pierādījums, kas naidīgs regulatoriem un auditoriem.
Kritiskas infrastruktūras TLS sertifikāti (banku vārti, programmatūras koda parakstīšana, IoT ražotāju saknes CA) ir aizsargāti ar HSM. HSM paraksta izejošos sertifikātus, nekad neatklājot saknes atslēgu — pat gadījumā, ja host serveris ir pilnībā apdraudēts.
Visas sertifikācijas nav vienlīdz vērtīgas. Sertifikācijas līmenis nosaka regulējumus, kuriem HSM lietošana dod tiesības (eIDAS QSCD, PCI-DSS HSM, slepenuma līgumi).
FIPS 140-2 (izdots 2001. gadā, noņemts no aktīvā kataloga 2026. gadā) un tā pēctecis FIPS 140-3 (spēkā no 2019. gada, obligāts jauniem produktiem kopš 2024. gada) nosaka 4 drošības līmeņus. Līmenis 3 (atslēgas izdzēstas, ja enklāve ir atvērta) ir minimums banku un publiskajai PKI; līmenis 4 (izturība pret sāņkaņa kanālu uzbrukumiem un vides variācijām) ir nepieciešams dažiem slepenuma lietojumiem.
Common Criteria ir IT produktu drošības novērtēšanas starptautisks standarts. HSM gadījumā Common Criteria EAL4+ līmenis ar Protection Profile EN 419 221-5 ir obligāts saskaņā ar eIDAS regulējumu kvalificētām paraksta izveides ierīcēm (QSCD). To izmanto Eiropas kvalificēti uzticamības pakalpojuma sniedzēji (QTSP).
ETSI standarti nosaka tehniskās prasības, kuras jāpilda kvalificētam uzticamības pakalpojuma sniedzējam (QTSP) saskaņā ar eIDAS — tostarp sertificētu HSM lietošana EN 419 221-5. QTSP, kas uzrādīts Eiropas Uzticamas saraksta (eIDAS TL) sarakstā, ir auditēts pēc šiem standartiem ar akreditētu struktūru (Francijā: LSTI, COFRAC).
ANSSI publicē Ģenerālo drošības atsauci (RGS) un izsniedz "Standarta" un "Pastiprinātas" kvalifikācijas kriptogrāfiskiem produktiem. Vācu BSI publicē līdzvērtīgas sertifikācijas (CSPN, BSI-TR). Valstu publiskās administrācijas var prasīt šīs nacionālās kvalifikācijas papildus Eiropas sertifikācijām.
Pareizā izvēle ir atkarīga no aizsargājamo atslēgu vērtības, normatīvo ierobežojumu un budžeta. Lūk, seši jautājumi, kas orientē lēmumu.
| Dimensija | HSM | TPM | Programmatūras KMS |
|---|---|---|---|
| Mērķis | Uzņēmuma un infrastruktūras kriptogrāfisko atslēgu aizsardzība (QES, PKI, KMS). | Noslēgt sāknēšanu un identificēt mašīnu (BitLocker, TPM 2.0 apliecinājums). Viena atslēga uz mašīnu. | Centralizēt atslēgu dzīves ciklu atmiņā/diskā bez materiālas izolācijas. |
| Kriptogrāfisks caurlaidspēja | Vairāki tūkstoši RSA-2048 parakstu sekundē (augstākās klases modeļi: 25 000+ sig/s). | Daži paraksti sekundē — orientēti uz vietējiem retos lietojumiem. | Ierobežots ar host CPU (bieži < 1000 sig/s RSA-2048). |
| Normatīvās sertifikācijas | FIPS 140-2/3, Common Criteria EAL4+, EN 419 221-5 (eIDAS QSCD). | Common Criteria EAL4+ TPM 2.0 (Microsoft Pluton, Google Titan). Nepietiek QES eIDAS. | Nav materiālās sertifikācijas. Labākajā gadījumā ISO 27001 no piegādātāja. |
| Materiāla forma | Rack korpuss 1U-2U, PCIe karte, pastiprināta USB atslēga vai dedikēta tīkla iekārta. No 8 000 €. | Čips pielodēts mātesplatei (TPM 2.0) vai virtualizēts (vTPM). Daži eiro uz mašīnu. | Bezmaksas (HashiCorp Vault, OpenStack Barbican) vai SaaS (AWS KMS bez CloudHSM). |
| Tipisks lietojuma gadījums | Kvalificēts eIDAS paraksts, PKI sakne, PCI-DSS atbilstība, slepenums. | Drošas sāknēšanas, lokālā diska šifrēšana, Windows Hello apliecinājums. | Lietojumprogrammas šifrēšana, DevOps noslēpumi, nekritisks iekšējie sertifikāti. |
| Kopējās īpašumtiesības izmaksas | 8 000 € līdz 80 000 € par iekārtu + apkope + audits. Var koplietot caur mākoņu (€/stunda). | Maržinālās izmaksas (jau klāt 99 % profesionāliem datoriem pēc 2016). | Bezmaksas atvērtajā kodā; ~0,03 $/atslēga/mēnesis pārvaldītā SaaS (AWS KMS, Azure Key Vault). |

TLS šifrēšana ir kļuvusi obligāta, lai aizsargātu jūsu elektronski parakstītos dokumentus. Atklājiet labākās prakses jūsu dokumentu plūsmu drošībai atbilstoši eIDAS.

Šifrēšana no gala līdz galam ir tehnoloģisks elektroniskās parakstīšanas dokumentu konfidencialitātes pamats. Izprotot tā darbību, jūs varat pārvaldīt savu kontraktējumu drošību.
HSM un TPM ir divas bieži jauktas aparatūras drošības tehnoloģijas, bet ar ļoti dažādiem lomuļiem. Uzziniet, kā izvēlēties pareizo moduļi saskaņā ar jūsu vajadzībām.
HSM šifrēšana ir neredzamais pamats jebkurai kvalificētai elektroniskajai parakstīšanai. Tās darbības principa izpratne nozīmē jūsu uzņēmuma kriptografiskās drošības apguvi.
Certyneo paļaujas uz Common Criteria EAL4+ sertificētiem HSM, ko darbina QTSP, kas uzrādīts Eiropas eIDAS Uzticamības sarakstā. QES par 9,90 €/akts, sākot ar Standard plānu.
Mēs izmantojam sīkfailus lai uzlabotu jūsu pieredzi mūsu vietnē. Sīkfaili, kas ir stingri nepieciešami pakalpojuma darbībai, vienmēr ir aktīvi. Uzzināt vairāk