- Qual é a diferença entre um HSM e um TPM?
- Um TPM (Trusted Platform Module) é um chip soldado na placa-mãe de quase todos os computadores profissionais modernos — serve para selar a inicialização, criptografar o disco (BitLocker) e identificar uma máquina de forma única. Um HSM (Hardware Security Module) é um gabinete autônomo dedicado à gestão de chaves criptográficas empresariais — serve para assinar documentos em nível qualificado eIDAS, para hospedar a raiz de uma autoridade de certificação, ou para proteger chaves de criptografia bancária. O TPM custa alguns euros por máquina; um HSM custa vários milhares a dezenas de milhares de euros, e só faz sentido na escala de uma organização.
- A criptografia HSM é realmente inviolável?
- Nenhuma proteção é absoluta, mas a criptografia HSM é atualmente o nível mais alto de proteção de hardware disponível. Os HSM certificados FIPS 140-3 nível 3 ou Common Criteria EAL4+ resistem a ataques por canal auxiliar (análise de consumo, emanações eletromagnéticas), a ataques por fault injection (perturbações de tensão ou temperatura), e acionam um apagamento automático das chaves em caso de abertura física do gabinete (tamper response). Nenhuma comprometimento público de um HSM devidamente operado foi documentado em ambiente de produção nos últimos 10 anos.
- É necessário comprar um HSM para usar assinatura eletrônica qualificada?
- Não, a menos que você seja um fornecedor de serviços de confiança. Para assinar em QES, suas chaves privadas são hospedadas no HSM de um QTSP qualificado (Universign, Certinomis, LuxTrust, e seus parceiros como Certyneo) que constam da Lista de Confiança eIDAS europeia. Você nunca vê o HSM diretamente — você interage com ele através de autenticação forte (cartão inteligente ou QES Remoto via MFA + biometria desde eIDAS 2.0).
- Qual é a diferença entre HSM e KMS?
- Um KMS (Key Management Service) é um serviço de software que orquestra o ciclo de vida das chaves criptográficas — geração, rotação, arquivamento, auditoria. Um HSM é o componente de hardware que executa fisicamente as operações criptográficas nessas chaves. Os dois não são concorrentes: um KMS sério se baseia em um HSM no fundo (AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM). Um KMS puramente de software (sem HSM) é suficiente para usos internos não críticos, mas não atende aos requisitos regulatórios PCI-DSS, eIDAS QES ou HIPAA HSM.
- Quais são os principais fabricantes de HSM em 2026?
- O mercado de HSM é dominado por cinco fabricantes: Thales (linhas Luna e payShield, líder histórico), Utimaco (CryptoServer, fornecedor de muitos QTSP europeus), Atos Eviden (Trustway Proteccio, qualificação ANSSI Reforçada), Marvell LiquidSecurity (HSM nativo em nuvem para AWS e Azure) e Entrust nShield. Os hyperscalers oferecem suas próprias ofertas compartilhadas: AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM. Para assinatura qualificada eIDAS, o critério decisivo é a certificação Common Criteria EAL4+ com o Protection Profile EN 419 221-5.
- É possível alugar um HSM na nuvem em vez de comprar um?
- Sim. AWS CloudHSM, Azure Dedicated HSM e Google Cloud HSM alugam HSM dedicados certificados FIPS 140-2 nível 3 (tipicamente entre 1 e 3 €/hora). Para assinatura qualificada eIDAS, essas ofertas não são suficientes por si só — é necessário um QTSP qualificado que operacione seu próprio HSM e conste da Lista de Confiança europeia. A vantagem do HSM em nuvem é a elasticidade (sem CAPEX, sem manutenção física), ao preço de uma dependência de um hyperscaler frequentemente americano (questão sensível com relação ao Cloud Act e à soberania digital europeia).
- Como verificar se um prestador de assinatura realmente usa um HSM certificado?
- O prestador deve constar da Lista de Confiança eIDAS europeia (https://eidas.ec.europa.eu/) como QTSP (Qualified Trust Service Provider). Esse registro é concedido apenas após auditoria por um organismo acreditado (em França LSTI/COFRAC, na Alemanha TÜV) que verifica, em particular, a conformidade do HSM utilizado com as normas EN 419 221-5 e EN 419 241-2 (QES Remoto desde eIDAS 2.0). Como complemento, peça ao prestador o número de certificação Common Criteria de seus HSM — um QTSP sério publica isso em sua documentação técnica.