
Asigurarea documentelor semnate cu criptare TLS
Criptarea TLS a devenit indispensabilă pentru protejarea documentelor semnate electronic. Descoperiți cele mai bune practici pentru asigurarea fluxurilor documentare în conformitate cu eIDAS.
Un HSM (Hardware Security Module) este un dispozitiv electronic inviolabil care generează, stochează și utilizează chei criptografice fără a le expune niciodată în mod clar în afara cutiei. Este componenta hardware care face posibilă semnătura electronică calificată (QES) în sensul regulamentului eIDAS, criptarea cu cheie publică (PKI), rădăcina de încredere a unei autorități de certificare (CA), și mai larg orice operațiune criptografică care necesită o garanție de inviolabilitate fizică și logică.
Un HSM este o casetă hardware (rack 1U, card PCIe, key USB sau dispozitiv de rețea) care efectuează operațiuni criptografice (generație de chei, semnătură, criptare, decriptare, hashing) în interiorul unei enclave fizice sigilate. Cheile private nu părăsesc niciodată HSM: orice încercare de extracție fizică declanșează ștergerea imediată (tamper response).
În mod concret, o aplicație care vrea să semneze un document trimite HSM-ului condensatul (hash SHA-256) al documentului prin intermediul unui API standardizat (PKCS#11, KMIP, CNG, JCE). HSM-ul semnează hash-ul cu o cheie privată care locuiește exclusiv în enclavă, apoi returnă semnătura. Documentul semnat conține semnătura și certificatul public corespunzător , dar cheia privată rămâne inviolabil protejată.
HSM nu este o comoditate publică: este necesară de îndată ce o reglementare, un standard sau un contract impune o garanție materială a inviolabilității cheilor.
Regulamentul european eIDAS (UE 910/2014) impune ca o semnătură calificată să fie generată de un dispozitiv de creare a semnăturilor calificate (QSCD) certificat în practică, un HSM certificat EN 419 221-5 sau Common Criteria EAL4+. HSM-ul furnizorului de servicii de încredere calificate (QTSP) găzduiește cheia privată a semnatarului și execută semnătura.
HSM-urile gestionează cheile de criptare a datelor (Key Encryption Keys, KEK) care criptează cheile de criptare a bazelor de date, a discurilor (BitLocker, LUKS) sau a copiilor de rezervă.
Orice autoritate de certificare (CA) rădăcină, intermediară sau emitentă utilizează un HSM pentru a genera și utiliza cheia care semnează certificatele X.509. Cheia rădăcină a unei CA publice (Let's Encrypt, DigiCert, Sectigo) sau private (Active Directory CS, ADFS) trebuie să locuiască într-un HSM certificat.
Platformele cloud (AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM) prezintă HSM-uri împărțite sau dedicate pentru a gestiona ciclul complet de viață al cheilor: generare, rotație, derivare, arhivare, distrugere.
Certificatele TLS ale infrastructurilor critice (portaluri bancare, semnături de cod software, CA root ale constructorilor IoT) sunt protejate de HSM. HSM semnează certificatele de ieșire fără a expune niciodată cheia rădăcină chiar și în cazul unei compromisări complete a serverului gazdă.
Nu toate certificările au aceeași valoare. Nivelul de certificare determină reglementările la care utilizarea HSM poate fi accesată (eIDAS QSCD, PCI-DSS HSM, contracte secrete de apărare).
FIPS 140-2 (publicat în 2001, retras din catalogul activ în 2026) și succesorul său FIPS 140-3 (în vigoare din 2019, obligatoriu pentru noile produse din 2024) definesc 4 niveluri de securitate. Nivelul 3 (cheile șterse dacă enclava este deschisă) este minimul pentru PKI bancar și public; nivelul 4 (resistență la atacuri prin canal auxiliar și la variații de mediu) este necesar pentru anumite utilizări secrete de apărare.
Common Criteria este standardul internațional de evaluare a securității produselor IT. Pentru HSM, nivelul Common Criteria EAL4+ cu Profilul de protecție EN 419 221-5 este cerut de Regulamentul eIDAS pentru dispozitivele de creare a semnăturii calificate (QSCD).
Standardele ETSI definesc cerințele tehnice care trebuie îndeplinite de un prestator de servicii de încredere calificat (QTSP) în sensul eIDAS , inclusiv utilizarea HSM-urilor certificate EN 419 221-5.
ANSSI publică un Reférential General de Securitate (RGS) și emite calificări Standard și Reinforced pentru produsele criptografice.
Alegerea corectă depinde de valoarea cheilor de protecție, de constrângerile de reglementare și de buget.
| Dimensiune | HSM | TPM | Software KMS |
|---|---|---|---|
| Scopul | Protecția cheilor criptografice de întreprindere și de infrastructură (QES, PKI, KMS). | Sigilaţi pornirea şi identificaţi maşina (BitLocker, certificat TPM 2.0). | Centralizați ciclul de viață al cheilor în memorie/disc, fără izolare hardware. |
| Datele de credit | Mai multe mii de semnături RSA-2048 pe secundă (modele de top: 25 000+ sig/s). | Câteva semnături pe secundă orientate spre utilizări locale punctuale. | Limitată de CPU-ul gazdă (adesea < 1000 sig/s pentru RSA-2048). |
| Certificări de reglementare | FIPS 140-2/3, Common Criteria EAL4+, EN 419 221-5 (QSCD eIDAS) și alte norme referitoare la protecția mediului. | Criteriile comune EAL4+ pentru TPM 2.0 (Microsoft Pluto, Google Titan). | Nu există certificare de materiale. ISO 27001 de la furnizor, cel mai bine. |
| Forma materială | Rack 1U-2U, card PCIe, stick USB întărit sau dispozitiv de reţea dedicat. | Chipuri sudate pe placa-mama (TPM 2.0) sau virtualizate (vTPM). | Este gratuit (HashiCorp Vault, OpenStack Barbican) sau SaaS (AWS KMS fără CloudHSM). |
| Caz tipic de utilizare | Semnătură calificată eIDAS, rădăcină PKI, PCI-DSS, secret de apărare. | Începere securizată, criptarea locală, certificat Windows Hello. | Criptarea aplicaţiilor, secrete DevOps, certificate interne necritice. |
| Costul total de posesie | 8 000 € la 80 000 € pe aparat + întreținere + audit. | Costul marginal (în prezent prezent la 99% din PC-urile profesionale post-2016). | Este gratuit în open-source; ~ 0,03 $/cheie/lună în SaaS gestionat (AWS KMS, Azure Key Vault). |

Criptarea TLS a devenit indispensabilă pentru protejarea documentelor semnate electronic. Descoperiți cele mai bune practici pentru asigurarea fluxurilor documentare în conformitate cu eIDAS.

Criptarea end-to-end este pilonul tehnologic al confidențialității documentelor semnate electronic. Înțelegerea funcționării sale înseamnă a stăpâni securitatea schimburilor dvs. contractuale.
HSM și TPM sunt două tehnologii de securitate hardware adesea confundate, dar cu roluri foarte distincte. Descoperă cum să alegi modulul potrivit în funcție de nevoile tale.
Criptarea HSM este fundamentul invizibil al oricărei semnături electronice calificate. Înțelegerea funcționării sale înseamnă stăpânirea securității cripto a întreprinderii dumneavoastră.
Certyneo se bazează pe HSM-uri certificate Common Criteria EAL4+ operate de un QTSP calificat de pe Lista de încredere eIDAS europeană.
Folosim cookie-uri pentru a vă îmbunătăți experiența pe site-ul nostru. Cookie-urile strict necesare pentru funcționarea serviciului sunt întotdeauna active. Aflați mai multe