HSM vs TPM: care este diferența și pe care să alegi?

Introducere: două module, două filosofii de securitate

În domeniul criptografiei aplicate și al protecției cheilor digitale, două tehnologii revin sistematic în discuțiile DSI și RSSI: HSM (Hardware Security Module) și TPM (Trusted Platform Module). Aceste două dispozitive hardware au un obiectiv comun — protejarea operațiunilor criptografice sensibile — dar arhitectura lor, cazurile de utilizare și nivelurile de certificare diferă fundamental. Confundarea celor două poate duce la alegeri de infrastructură inadecvate, chiar și la lacune de conformitate reglementară. Acest articol îți oferă cheile pentru a înțelege diferența HSM vs TPM, pentru a identifica când să folosești una sau cealaltă, și pentru a lua cea mai bună decizie pentru organizația ta în 2026.

---

Ce este un HSM (Hardware Security Module)?

Un Hardware Security Module este un dispozitiv hardware dedicat, conceput în mod specific pentru a genera, stoca și gestiona chei criptografice într-un mediu fizic și logic securizat. Este un component autonom — adesea sub forma unei plăci PCIe, dispozitiv de rețea sau serviciu cloud (HSM as a Service) — a cărui funcție principală este să execute operații criptografice cu performanțe înalte fără a expune niciodată cheile în text clar în afara modulului.

Caracteristici tehnice ale HSM

HSM sunt certificate conform standardelor internaționale riguroase, în special FIPS 140-2 / FIPS 140-3 (nivelurile 2, 3 sau 4) publicate de NIST american, și Common Criteria EAL4+ conform normei ISO/IEC 15408. Aceste certificări implică mecanisme anti-falsificare fizică (tamper-resistance), detectoare de intruziune și distrugere automată a cheilor în caz de tentativă de compromitere.

Un HSM tipic oferă:

• O capacitate de procesare ridicată: până la câteva mii de operații RSA sau ECDSA pe secundă
• Multi-tenancy: gestionarea sutelor de partiții criptografice independente
• Interfețe standardizate: PKCS#11, Microsoft CNG, JCA/JCE, OpenSSL engine
• Pista de audit complet: jurnalizare imuabilă a fiecărei operații

Cazuri tipice de utilizare a HSM

HSM sunt nucleul semnării electronice calificate în sensul regulamentului eIDAS, unde cheia privată a semnatarului trebuie generată și stocată într-un dispozitiv calificat de creare a semnăturii (QSCD). Ele echipează, de asemenea, autoritățile de certificare (CA/PKI), sistemele de plăți (HSM protocol PCI-DSS), infrastructuri de criptare a bazelor de date și medii de code signing.

Semnarea electronică calificată în întreprindere se bazează aproape sistematic pe un HSM certificat ca QSCD pentru a garanta valoarea juridică maximă a semnăturilor.

---

Ce este un TPM (Trusted Platform Module)?

Trusted Platform Module este un cip de securitate integrat direct pe placa de bază a unui computer, server sau dispozitiv conectat. Standardizat de Trusted Computing Group (TCG), a cărui specificație TPM 2.0 este, de asemenea, normalizată sub ISO/IEC 11889:2015, TPM este conceput pentru a securiza platforma în sine mai degrabă decât să servească ca serviciu criptografic centralizat partajat.

Arhitectura și funcționarea TPM

Spre deosebire de HSM, TPM este un component de uz unic, legat de o bucată specifică de hardware. Nu poate fi mutat sau partajat între mai multe mașini. Funcțiile sale principale includ:

• Măsurarea integrității porniri (Secure Boot, Measured Boot) prin Platform Configuration Registers (PCR)
• Stocare a cheilor legată de platformă: cheile generate de TPM pot fi folosite doar pe mașina care le-a creat
• Generarea aleatoare de numere criptografice (RNG)
• Atestare distantă: dovedire unui server distant că platforma se află într-un stat cunoscut de încredere
• Criptare volum: BitLocker pe Windows, dm-crypt cu TPM pe Linux se bazează direct pe TPM

Limitări ale TPM pentru cazurile de utilizare enterprise avansate

TPM 2.0 este certificat FIPS 140-2 nivel 1 cel mult, ceea ce este semnificativ mai mic decât certificările FIPS 140-3 nivel 3 ale HSM profesionale. Capacitatea sa de procesare criptografică este limitată (câteva zeci de operații pe secundă), și nu suportă nativ interfețele PKCS#11 sau CNG în mod atât de complet ca un HSM dedicat. Pentru semnare electronică avansată sau calificată, TPM singur este în general insuficient ținând cont de cerințele eIDAS anexa II asupra QSCD.

---

Diferențe fundamentale HSM vs TPM: tabel comparativ

Înțelegerea diferenței HSM vs TPM Trusted Platform Module trece prin o comparație structurată a criteriilor determinante pentru întreprindere.

Nivel de certificare și asigurare securitate

| Criteriu | HSM | TPM | |---|---|---| | Certificare FIPS | 140-3 nivel 2 la 4 | 140-2 nivel 1 | | Common Criteria | EAL4+ la EAL7 | EAL4 | | Calificare eIDAS QSCD | Da (ex: Thales Luna, Utimaco) | Nu | | Anti-falsificare fizică | Avansată (auto-distrugere) | Bazică |

Capacitate, scalabilitate și integrare

HSM sunt dispozitive multi-utilizator și multi-aplicație: o singură aplicație de rețea poate servi simultan sute de clienți, aplicații și servicii prin PKCS#11 sau REST API. Se integrează în arhitecturi cu disponibilitate ridicată (clustere activ-activ) și suportă debite criptografice industriale.

TPM, pe de altă parte, este mono-mașină și mono-tenant prin design. Excela în securizarea postului de lucru, protecția credențialelor de acces Windows Hello for Business și integritate firmware. Pentru operații de semnare electronică în fluxuri documentare, un TPM nu poate juca rolul unui serviciu criptografic partajat.

Preț și implementare

Un HSM de rețea la nivel enterprise (Thales Luna Network HSM, Utimaco SecurityServer, AWS CloudHSM) reprezintă o investiție de 15.000 € la 80.000 € pentru hardware on-premise, sau între 1,50 € și 3,00 € pe oră în mod cloud gestionat conform furnizorilor. TPM, pe de altă parte, este integrat fără cost suplimentar în aproape totalitatea PC-urilor profesionale, serverelor și sistemelor încorporate din 2014 (obligatoriu pentru Windows 11 din 2021).

---

Când să folosești un HSM, când să folosești un TPM în întreprindere?

Răspunsul la această întrebare depinde de contextul tău operațional, obligațiile tale reglementare și arhitectura sistemului tău informatic.

Alege un HSM pentru:

• Implementare PKI internă: cheile rădăcină ale autorității tale de certificare trebuie să rezidă în mod imperativ într-un HSM certificat pentru a obține încrederea navigatoarelor (CA/Browser Forum Baseline Requirements)
• Emitere de semnări electronice calificate: în conformitate cu anexa II a regulamentului eIDAS nr. 910/2014, QSCD trebuie să fie certificate conform standardelor echivalente cu EAL4+ minim; comparația soluțiilor de semnare electronică detaliază aceste cerințe
• Securizare tranzacții financiare cu volum ridicat: standardele PCI-DSS v4.0 (secțiunea 3.6) impun protecția cheilor de criptare ale datelor cardului în HSM
• Criptare baze de date sau cloud: AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM permit păstrarea controlului cheilor (BYOK / HYOK)
• Code signing și integritate construiri CI/CD: semnarea artefactelor software pentru lanțul de aprovizionare securizat necesită HSM pentru a preveni furtul de chei

Alege un TPM pentru:

• Securizare pornire posturi de lucru și servere: Secure Boot + Measured Boot + atestare distantă prin TPM 2.0 constituie baza Zero Trust pe endpoint
• Criptare discuri full-disk: BitLocker cu TPM protejează datele în repaus fără dependență de un serviciu extern
• Autentificare materială a posturilor: Windows Hello for Business folosește TPM pentru a stoca cheile private de autentificare fără posibilitate de extragere
• Conformitate NIS2 asupra securității endpoint: directiva NIS2 (UE 2022/2555), transpusă în dreptul francez prin legea din 13 iunie 2024, impune măsuri tehnice proporționate pentru securitatea sistemelor informative; TPM contribuie direct la securizarea activelor materiale
• Proiecte IoT industriale: TPM încorporate în automate și sisteme SCADA permit atestare distantă fără infrastructură HSM dedicată

Arhitecturi hibride HSM + TPM

În organizațiile mari, HSM și TPM nu se opun: se completează. Un server echipat cu TPM 2.0 poate atestaiza integritatea unui serviciu de gestionare centralizat, în timp ce operațiile criptografice de afaceri (semnare, criptare date aplicative) sunt delegate unui cluster HSM de rețea. Această arhitectură este recomandată de ANSSI în ghidul său privind gestionarea riscurilor legate de prestatori de servicii de încredere (PSCE). Consultarea glossarului semnării electronice poate ajuta echipele tehnice să armonizeze terminologia la definirea acestei arhitecturi.

Cadru legal și normativ aplicabil HSM și TPM

Alegerea între HSM și TPM angajează direct conformitatea organizației tale cu mai multe referențiale reglementare europene și internaționale.

Regulamentul eIDAS nr. 910/2014 și eIDAS 2.0 (regulamentul UE 2024/1183)

Articolul 29 al regulamentului eIDAS impune ca semnările electronice calificate să fie create cu ajutorul unui Qualified Signature Creation Device (QSCD), definit la anexa II. Aceste dispozitive trebuie să garanteze confidențialitatea cheii private, unicitatea și inviolabilitatea sa. Lista QSCD recunoscuților este publicată de organismele naționale de acreditare (în Franța: ANSSI). HSM certificat FIPS 140-3 nivel 3 sau Common Criteria EAL4+ figurează pe aceste liste; TPM nu figurează. Un prestaor de semnare cum ar fi Certyneo se bazează pe HSM calificate pentru a garanta valoarea dovezii maxime a semnăturilor emise.

Codul civil francez, articolele 1366 și 1367

Articolul 1366 recunoaște valoarea juridică a scrisului electronic „cu condiția ca persoana din care provine să poată fi identificată în mod corespunzător și ca să fie stabilit și conservat în condiții care garantează integritatea acestuia". Articolul 1367 precizează condițiile semnării electronice fiabile, revenind implicit la cerințele eIDAS pentru semnări calificate.

RGPD nr. 2016/679, articolele 25 și 32

Principiul privacy by design (articolul 25) și obligația de măsuri tehnice adecvate (articolul 32) impun protecția cheilor criptografice folosite pentru a cripta date personale. Recurgerea la HSM certificat constituie o măsură de stare a tehnicii (stare a tehnicii în sensul considerandului 83 al RGPD) pentru a demonstra conformitatea la control de la CNIL.

Directiva NIS2 (UE 2022/2555), transpusă în Franța

Directiva NIS2, aplicabilă entităților esențiale și importante din octombrie 2024, impune la articolul 21 măsuri de gestionare a riscurilor inclusiv securitatea lanțului de aprovizionare software și criptare. HSM răspund direct la aceste cerințe pentru operații critice, în timp ce TPM contribuie la securizarea endpoint-urilor.

Norme ETSI

Norma ETSI EN 319 401 (cerințe generale pentru prestatori de servicii de încredere) și ETSI EN 319 411-1/2 (cerințe pentru CA care emit certificare calificate) impun stocarea cheilor CA în HSM certificate. Norma ETSI EN 319 132 (XAdES) și ETSI EN 319 122 (CAdES) definesc formate de semnare care presupun utilizarea modulelor de securitate certificate.

Recomandări ANSSI

ANSSI publică referențialul RGS (Referențial General de Securitate) și ghidurile sale privind HSM, recomandând utilizarea modulelor certificate pentru orice infrastructură PKI sensibilă în organizații publice și OIV/OSE. Non-respectarea acestor recomandări poate constitui o încălcare a obligațiilor NIS2 pentru entitățile în cauză.

Scenarii de utilizare: HSM sau TPM ținând cont de context

Scenariul 1: o societate de gestionare a activelor financiare cu PKI internă

O societate de gestionare gestionând mai mulți miliarde de euro de active sub management are nevoie să semneze electronic raportări reglementare (AIFMD, MiFID II) și contracte de investiții cu valoare juridică calificată. Implementează o PKI internă ale cărei chei rădăcină (Root CA) și intermediare (Issuing CA) sunt protejate în două HSM de rețea în cluster cu disponibilitate ridicată, certificate FIPS 140-3 nivel 3. Certificatele calificate sunt emise pe HSM parteneri conforme eIDAS QSCD. Rezultat: 100% din semnări au valoare calificată, auditurile de conformitate AMF confirmă respectarea reglementărilor, și timpuul de semnare a documentelor de investiții scade de la 4 zile la mai puțin de 2 ore. Costul infrastructurii HSM este amortizat în mai puțin de 18 luni în raport cu costurile potențiale de non-conformitate.

Scenariul 2: o PME industrială de 150 de angajați securizând parcul de posturi de lucru

O PME din sectorul fabricației aeronautice, furnizor de rang 2 supus cerințelor CMMC (Cybersecurity Maturity Model Certification) și recomandărilor NIS2, trebuie să securizeze 150 de posturi Windows împotriva furtului de date tehnice sensibile. RSSI implementează BitLocker cu TPM 2.0 pe întregul parc, cuplat cu Windows Hello for Business pentru autentificare fără parolă. Atestarea distantă prin TPM este integrată în soluția MDM (Microsoft Intune). Nici un HSM nu este necesar în acest context: TPM integrate în posturile Dell și HP sunt suficiente. Rezultat: riscul de scurgere de date ca urmare a unui furt fizic de laptop este redus la aproape zero, și punctajul de maturitate cybersecuritate al PME progresează cu 40% conform auto-evaluării CMMC. Cost suplimentar: 0 € (TPM deja integrat în mașini).

Scenariul 3: un operator de platformă SaaS de semnare electronică multi-clienți

Un operator SaaS care oferă servicii de semnare electronică la mai multe sute de companii clienți trebuie să garanteze izolarea criptografică între clienți și calificarea eIDAS a serviciului. Implementează o arhitectură bazată pe HSM în mod cloud dedicat (AWS CloudHSM sau Thales DPoD), cu o partiție HSM per tenant de dimensiuni mari și un pool partajat pentru clienții standard. Fiecare client beneficiază de chei izolate în partitia sa, auditabile independent. TPM echipează serverele de aplicație pentru atestarea integrității platformei la auditurile de certificare eIDAS (QTSP). Rezultat: operatorul obține calificarea QTSP de la ANSSI, permițând emiterea de semnări calificate. Modelul HSM as a Service reduce capex-ul infrastructurii cu 60% în comparație cu soluția on-premise, conform benchmark-urilor din sector comparabile.

Concluzie

Diferența între HSM și TPM este fundamentală: HSM este un serviciu criptografic partajat, performant și multi-aplicație, indispensabil pentru PKI, semnări calificate eIDAS și conformitate PCI-DSS sau NIS2 la scară mare. TPM este o componentă de încredere legată de o platformă materială specifică, ideală pentru securizarea endpoint-urilor, pornirea securizată și autentificarea locală. În majoritatea arhitecturilor enterprise mature din 2026, cele două coexistă cu roluri complementare și non-substituibile.

Dacă organizația ta caută să implementeze o soluție de semnare electronică calificată apărând pe o infrastructură HSM certificată, fără a gestiona complexitatea tehnică în intern, Certyneo îți propune o platformă SaaS cheie la mână, conformă eIDAS și RGPD. Descoperă prețurile Certyneo sau contactează experții noștri pentru audit al nevoilor tale criptografice.