
Sikre dokumentene dine signert med TLS-kryptering
TLS-kryptering har blitt uunnværlig for å beskytte dine elektronisk signerte dokumenter. Oppdag beste praksis for å sikre dokumentflytene dine i samsvar med eIDAS.
Et HSM (Hardware Security Module) er en ukrenkelig elektronisk enhet som genererer, lagrer og bruker kryptografiske nøkler uten å eksponere dem klart utenfor boksen. Det er den maskinelle komponenten som gjør det mulig for kvalifisert elektronisk signatur (QES) i henhold til eIDAS-reglementet, offentlig nøkkelkryptering (PKI), en sertifiseringsmyndighets (CA) tillit, og mer bredt enhver kryptografisk operasjon som krever en garanti for fysisk og logisk ukrenkelighet.
En HSM er en maskinvareboks (rack 1U, PCIe-kort, USB-nøkkel eller nettverksapparat) som utfører kryptografiske operasjoner (nøkkelgenerering, signatur, kryptering, dekryptering, hashing) inne i et forseglet fysisk enklave.
Konkret sender en applikasjon som ønsker å signere et dokument dokument, dokumentets kondensat (SHA-256-hash) til HSM via et standardisert API (PKCS#11, KMIP, CNG, JCE). HSM signerer hashen med en privat nøkkel som bor utelukkende i sitt enklave, og sender deretter tilbake signaturen. Det signerte dokumentet inneholder signaturen og det tilhørende offentlige sertifikatet , men den private nøkkelen forblir ubrytelig beskyttet. Dette skiller en kvalifisert eIDAS-signatur (QES, støttet av HSM-leverandør) fra en enkel (SES, uten fysisk tvang) eller avansert (AES, nøkkel som kontrolleres av signaturen) kvalifisert signatur.
HSM er ikke en allmennhetstilrettelegging: det kreves når en regel, standard eller kontrakt krever en materiell garanti for at nøklene er ukrenkelige.
Den europeiske eIDAS-forordningen (EU 910/2014) krever at en kvalifisert signatur genereres av et kvalifisert signaturskapende verktøy (QSCD) som er sertifisert i praksis, en HSM som er sertifisert i henhold til EN 419 221-5 eller Common Criteria EAL4+. Det er den kvalifiserte tillitsleverandørens (QTSP) HSM som lagrer signerens private nøkkel og utfører signaturen.
HSM-er administrerer nøkkelkrypteringsnøklene (Key Encryption Keys, KEK) som krypterer krypteringsnøklene til databaser, disker (BitLocker, LUKS) eller sikkerhetskopier.
Enhver rot-, mellom- eller utstedende sertifiseringsmyndighet (CA) bruker en HSM til å generere og bruke nøkkelen som signerer X.509-sertifikater. Roten til en offentlig (Let's Encrypt, DigiCert, Sectigo) eller privat (Active Directory CS, ADFS) CA må bo i en sertifisert HSM.
Cloud-plattformene (AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM) tilbyr felles eller dedikerte HSM for å administrere hele livssyklusen av nøklene: generering, rotasjon, avledning, arkivering, ødeleggelse.
TLS-sertifikater for kritisk infrastruktur (banktasjer, programvare kodesignering, rot CA for IoT-produsenter) er beskyttet av HSM. HSM signerer utgående sertifikater uten å eksponere rotnøkkelen selv i tilfelle full kompromiss av vertserveren.
Alle sertifiseringer har ikke samme verdi. Sertifiseringnivået bestemmer hvilke regler bruken av HSM gir rett til (eIDAS QSCD, PCI-DSS HSM, hemmelige forsvarskontrakter).
FIPS 140-2 (utgitt i 2001, trukket ut av det aktive kataloget i 2026) og etterfølgeren FIPS 140-3 (i kraft siden 2019, obligatorisk for nye produkter fra 2024) definerer 4 sikkerhetsnivåer. Nivå 3 (nøklene slettes hvis enklaven er åpen) er minimum for bank- og offentlig PKI; nivå 4 (resistens mot hjelpekanalatak og miljøendringer) kreves for visse hemmelige forsvarsanvendelser.
For HSM er Common Criteria EAL4+ nivået med Protection Profile EN 419 221-5 påkrevd av eIDAS-reglementet for kvalifiserte signaturskapningsapparater (QSCD).
ETSI-standarder definerer de tekniske kravene som en kvalifisert tjenestetilbyder (QTSP) i henhold til eIDAS må oppfylle, inkludert bruk av HSM som er sertifisert i EN 419 221-5.
ANSSI publiserer en General Security Referential (GRS) og utsteder Standard og Forsterket kvalifikasjoner for kryptografiske produkter.
Det er viktig å vurdere hva som er riktig, avhengig av hvor mye nøklene er verdt, hvilke regulatoriske begrensninger som er nødvendige og hva som er nødvendig for å få budsjettet til å fungere.
| Dimension | HSM | TPM | KMS-programvare |
|---|---|---|---|
| Formål | Beskyttelse av kryptografiske nøklene for bedrift og infrastruktur (QES, PKI, KMS). | Sluk oppstart og identifisere maskinen (BitLocker, TPM 2.0-attest). | Sentralisere nøkkelens livssyklus i minne/disk, uten fysisk isolasjon. |
| Kryptografisk gjennomgang | Flere tusen RSA-2048 signaturer per sekund (høyklassesmodeller: 25 000+ sig/s). | Noen signaturer per sekund orientert til lokal bruk. | Begrenset av CPUen (ofte < 1000 sig/s for RSA-2048). |
| Reguleringssertifisering | FIPS 140-2/3, Common Criteria EAL4+, EN 419 221-5 (QSCD eIDAS). | Common Criteria EAL4+ for TPM 2.0 (Microsoft Pluto, Google Titan). | Ingen materiell sertifisering. ISO 27001 fra leverandør. |
| Materiell form | 1U-2U rackkasse, PCIe-kort, hardet USB-minne, eller dedikert nettverksapparat. | Chip sveiset på motherboard (TPM 2.0) eller virtualisert (vTPM). | Gratis (HashiCorp Vault, OpenStack Barbican) eller SaaS (AWS KMS uten CloudHSM). |
| Typisk brukssake | eIDAS-kvalifisert signatur, PKI-roten, PCI-DSS-kompatibilitet, forsvarshemmelighet. | Sikker oppstart, kryptering av lokaldisken, Windows Hello-attest. | Applikasjonskryptering, DevOps-hemmeligheter, ikke-kritiske interne sertifikater. |
| Totalt eierskapskostnad | 8 000 € til 80 000 € per apparat + vedlikehold + revisjon. | Marginalkostnad (alvorlig på 99% av profesjonelle PC etter 2016). | Gratis i åpen kildekode; ~ 0,03 $/nøkkel/måned i administrert SaaS (AWS KMS, Azure Key Vault). |

TLS-kryptering har blitt uunnværlig for å beskytte dine elektronisk signerte dokumenter. Oppdag beste praksis for å sikre dokumentflytene dine i samsvar med eIDAS.

Kryptering ende-til-ende er det teknologiske grunnlaget for fortrolighet i elektronisk signerte dokumenter. Å forstå hvordan det fungerer, betyr å beherske sikkerheten i dine kontraktuelle utvekslinger.
HSM og TPM er to teknologier for maskinvaresikkerhet som ofte blandes sammen, men har veldig ulike roller. Finn ut hvordan du velger riktig modul etter dine behov.
HSM-kryptering er det usynlige grunnlaget for all kvalifisert elektronisk signatur. Å forstå hvordan det fungerer, betyr å mestre kryptografisk sikkerhet i bedriften din.
Certyneo er basert på HSM som er sertifisert med Common Criteria EAL4+ og drives av en kvalifisert QTSP som er oppført på den europeiske eIDAS Trusted List.
Vi bruker informasjonskapsler for å forbedre opplevelsen din på nettstedet vårt. Informasjonskapsler som er strengt nødvendige for tjenestens funksjon, er alltid aktive. Les mer