- Wat is het verschil tussen een HSM en een TPM?
- Een TPM (Trusted Platform Module) is een chip die op het moederbord van bijna alle moderne professionele computers is gesoldeerd — het wordt gebruikt om het opstarten te verzegelen, de schijf te versleutelen (BitLocker) en een machine op unieke wijze te identificeren. Een HSM (Hardware Security Module) is een zelfstandige behuizing die speciaal is ontworpen voor het beheer van bedrijfscryptografische sleutels — het wordt gebruikt om documenten op eIDAS-gekwalificeerd niveau te ondertekenen, de root van een certificeringsautoriteit te hosten of bankversleutelingssleutels te beveiligen. Een TPM kost enkele euro's per machine; een HSM kost enkele duizenden tot tienduizenden euro's en heeft alleen zin op organisatieniveau.
- Is HSM-versleuteling echt onbreekbaar?
- Geen bescherming is absoluut, maar HSM-versleuteling is momenteel het hoogste beschikbare niveau van hardwarebescherming. HSM's die FIPS 140-3 niveau 3 of Common Criteria EAL4+ hebben gecertificeerd, weerstaan aanvallen via zijkanalen (verbruiksanalyse, elektromagnetische uitstraling), fault injection-aanvallen (spanning- of temperatuurverstoringen) en activeren automatische sleutelwissing bij fysieke opening van de behuizing (tamper response). Geen enkele gecompromitteerde installatie van een correct bedreven HSM in productieomgeving is gedocumenteerd in de afgelopen 10 jaar.
- Moet ik een HSM kopen om gekwalificeerde elektronische handtekening te gebruiken?
- Nee, tenzij u zelf een vertrouwensdienstenanbieder bent. Om in QES te ondertekenen, worden uw persoonlijke sleutels gehost in de HSM van een gekwalificeerde QTSP (Universign, Certinomis, LuxTrust en hun partners zoals Certyneo) die op de Europese eIDAS Trusted List staat. U ziet de HSM nooit rechtstreeks — u communiceert ermee via sterke authenticatie (smartcard of Remote QES via MFA + biometrie sinds eIDAS 2.0).
- Wat is het verschil tussen HSM en KMS?
- Een KMS (Key Management Service) is een softwareservice die de levenscyclus van cryptografische sleutels orkestreert — generatie, rotatie, archivering, audit. Een HSM is het hardwarecomponent dat fysiek cryptografische bewerkingen op deze sleutels uitvoert. De twee zijn geen concurrenten: een serieuze KMS steunt op een HSM op de achtergrond (AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM). Een zuiver softwarematige KMS (zonder HSM) volstaat voor niet-kritieke interne toepassingen, maar voldoet niet aan regelgevingseisen voor PCI-DSS, eIDAS QES of HIPAA HSM.
- Wat zijn de belangrijkste HSM-fabrikanten in 2026?
- De HSM-markt wordt gedomineerd door vijf fabrikanten: Thales (Luna- en payShield-reeksen, historische marktleider), Utimaco (CryptoServer, leverancier van veel Europese QTSP's), Atos Eviden (Trustway Proteccio, ANSSI Renforcée-kwalificatie), Marvell LiquidSecurity (cloud-native HSM voor AWS en Azure) en Entrust nShield. Hyperscalers bieden hun eigen mutualiseerde aanbiedingen: AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM. Voor eIDAS-gekwalificeerde handtekeningen is het beslissende criterium Common Criteria EAL4+-certificering met Beschermingsprofiel EN 419 221-5.
- Kan ik een HSM in de cloud huren in plaats van er een te kopen?
- Ja. AWS CloudHSM, Azure Dedicated HSM en Google Cloud HSM huren aan FIPS 140-2 niveau 3 gecertificeerde HSM's (typisch tussen 1 en 3 €/uur). Voor eIDAS-gekwalificeerde handtekeningen zijn deze aanbiedingen alleen niet voldoende — u hebt een gekwalificeerde QTSP nodig die zijn eigen HSM exploiteert en op de Europese Trusted List staat. Het voordeel van cloud-HSM is elasticiteit (geen CAPEX, geen fysiek onderhoud), tegen de prijs van afhankelijkheid van een hyperscaler die vaak Amerikaans is (gevoelig onderwerp met betrekking tot de Cloud Act en Europese digitale soevereiniteit).
- Hoe kan ik verifiëren dat een ondertekeningsprovider echt een gecertificeerde HSM gebruikt?
- De dienstverlener moet vermeld staan op de Europese Trusted List eIDAS (https://eidas.ec.europa.eu/) als QTSP (Qualified Trust Service Provider). Deze registratie wordt alleen afgegeven na een audit door een erkend organisme (in Frankrijk LSTI/COFRAC, in Duitsland TÜV) dat onder meer de conformiteit van de gebruikte HSM met de normen EN 419 221-5 en EN 419 241-2 (Remote QES sinds eIDAS 2.0) verifieert. Vraag de dienstverlener bovendien om het Common Criteria-certificeringsnummer van zijn HSM — een serieuze QTSP publiceert dit in zijn technische documentatie.