Защитите ваши подписанные документы с помощью шифрования TLS
Шифрование TLS стало неотъемлемым инструментом для защиты ваших электронно подписанных документов. Откройте лучшие практики по защите документооборота в соответствии с eIDAS.
9 min
Аппаратная криптография · FIPS 140-3 · CC EAL4+
HSM (Hardware Security Module): зачем и когда его использовать
HSM (Hardware Security Module, модуль аппаратной безопасности) — это неуязвимое электронное устройство, которое генерирует, хранит и использует криптографические ключи, никогда не раскрывая их в открытом виде за пределами корпуса. Это аппаратный компонент, который делает возможной квалифицированную электронную подпись (QES) по смыслу регламента eIDAS, криптографию с открытым ключом (PKI), корень доверия центра сертификации (CA) и, в более широком смысле, любые криптографические операции, требующие гарантии физической и логической неуязвимости. Это руководство объясняет на практике, что такое HSM, для чего он служит, как он сертифицируется (FIPS 140-2, FIPS 140-3, Common Criteria EAL4+) и чем он отличается от TPM или чисто программного KMS.
Что такое HSM на практике?
HSM — это аппаратный корпус (стойка 1U, карта PCIe, USB-ключ или сетевое устройство), который выполняет криптографические операции (генерация ключей, подпись, шифрование, расшифровка, хеширование) внутри запечатанного физического анклава. Приватные ключи никогда не покидают HSM: любая попытка физического извлечения запускает немедленное стирание (tamper response). Корпус разработан для защиты от атак по побочным каналам (анализ потребления электроэнергии, электромагнитные излучения, скачки напряжения), атак с инъекцией ошибок (fault injection) и наблюдения под электронным микроскопом.
На практике приложение, которое хочет подписать документ, отправляет HSM конденсат (хеш SHA-256) документа через стандартизированный API (PKCS#11, KMIP, CNG, JCE). HSM подписывает хеш приватным ключом, который находится исключительно в его анклаве, и возвращает подпись. Подписанный документ содержит подпись и соответствующий открытый сертификат — но приватный ключ остается неуязвимо защищен. Именно это отличает квалифицированную подпись eIDAS (QES, основанную на HSM на стороне квалифицированного поставщика услуг) от простой подписи (SES, без аппаратных ограничений) или продвинутой подписи (AES, с ключом, контролируемым подписывающей стороной).
Пять применений, где HSM незаменим
HSM — это не товар широкого потребления: он требуется, когда нормативно-правовой акт, стандарт или контракт требует материальной гарантии неуязвимости ключей.
Квалифицированная подпись eIDAS (QES)
Европейский регламент eIDAS (УЕ 910/2014) требует, чтобы квалифицированная подпись была создана сертифицированным устройством для создания квалифицированной подписи (QSCD) — на практике HSM, сертифицированным EN 419 221-5 или Common Criteria EAL4+. Именно HSM квалифицированного поставщика услуг доверия (QTSP) хранит приватный ключ подписавшего и выполняет подпись.
Шифрование чувствительных данных
HSM управляют главными ключами (Key Encryption Keys, KEK), которые шифруют ключи шифрования баз данных, дисков (BitLocker, LUKS) или резервных копий. Типичный случай: соответствие PCI-DSS для обработчиков платежей, HIPAA / HDS для медицинских данных, государственная тайна для государственных учреждений.
Центр сертификации (PKI)
Любой центр сертификации (CA) — корневой, промежуточный или выпускающий — использует HSM для генерирования и использования ключа, который подписывает сертификаты X.509. Корневой ключ публичного CA (Let''s Encrypt, DigiCert, Sectigo) или частного корпоративного (Active Directory CS, ADFS) должен находиться в сертифицированном HSM.
Управление криптографическими ключами (KMS)
Облачные платформы (AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM) предоставляют общие или выделенные HSM для управления полным жизненным циклом ключей: генерирование, ротация, производство, архивирование, уничтожение. Преимущество по сравнению с чисто программным KMS: доказательство неуязвимости, которое можно предъявить регуляторам и аудиторам.
Корневой TLS и критичные сертификаты серверов
TLS-сертификаты критических инфраструктур (банковские шлюзы, подпись программного кода, корневой CA производителей IoT) защищены HSM. HSM подписывает исходящие сертификаты, никогда не раскрывая корневой ключ — даже в случае полной компрометации хост-сервера.
Сертификации HSM: что нужно знать
Не все сертификации имеют одинаковую ценность. Уровень сертификации определяет регуляции, в соответствии с которыми использование HSM дает права (eIDAS QSCD, PCI-DSS HSM, контракты государственной тайны).
FIPS 140-2 и FIPS 140-3 (NIST, США)
FIPS 140-2 (опубликован в 2001 году, исключен из активного каталога в 2026 году) и его преемник FIPS 140-3 (действует с 2019 года, обязателен для новых продуктов с 2024 года) определяют 4 уровня безопасности. Уровень 3 (ключи удаляются при открытии анклава) является минимумом для банковской и государственной PKI; уровень 4 (устойчивость к атакам по побочным каналам и колебаниям окружающей среды) требуется для некоторых применений в оборонном секторе.
Common Criteria EAL4+ (ISO/IEC 15408, международный)
Common Criteria — это международный стандарт оценки безопасности IT-продуктов. Для HSM уровень Common Criteria EAL4+ с Protection Profile EN 419 221-5 требуется регламентом eIDAS для устройств создания квалифицированной подписи (QSCD). Это используется квалифицированными европейскими поставщиками доверенных услуг (QTSP).
ETSI EN 319 411 и 319 412 (Европа)
Стандарты ETSI определяют технические требования, которые должен соблюдать поставщик квалифицированных услуг доверия (QTSP) в соответствии с eIDAS — включая использование сертифицированных HSM EN 419 221-5. QTSP, включенный в европейский список доверия (eIDAS TL), был проверен в соответствии с этими стандартами аккредитованным органом (во Франции: LSTI, COFRAC).
ANSSI (Франция) и BSI (Германия)
ANSSI публикует Общий справочник по безопасности (RGS) и выдает квалификации «Standard» и «Renforcée» для криптографических продуктов. Немецкий BSI публикует эквивалентные сертификаты (CSPN, BSI-TR). Национальные государственные администрации могут требовать эти национальные квалификации в дополнение к европейским сертификатам.
HSM vs TPM vs программный KMS — какое решение выбрать?
Правильный выбор зависит от стоимости защищаемых ключей, нормативных требований и бюджета. Вот шесть измерений, которые определяют решение.
| Измерение | HSM | TPM | Программный KMS |
|---|---|---|---|
| Назначение | Защита криптографических ключей предприятия и инфраструктуры (QES, PKI, KMS). | Опечатать загрузку и идентифицировать машину (BitLocker, аттестация TPM 2.0). Один ключ на машину. | Централизовать управление жизненным циклом ключей в памяти/на диске без аппаратной изоляции. |
| Криптографическая пропускная способность | Несколько тысяч подписей RSA-2048 в секунду (высокопроизводительные модели: 25 000+ сиг/с). | Несколько подписей в секунду — ориентирован на локальное точечное использование. | Ограничен CPU хоста (часто < 1000 sig/s для RSA-2048). |
| Нормативные сертификации | FIPS 140-2/3, Common Criteria EAL4+, EN 419 221-5 (QSCD eIDAS). | Common Criteria EAL4+ для TPM 2.0 (Microsoft Pluton, Google Titan). Недостаточно для QES eIDAS. | Отсутствие аппаратной сертификации. ISO 27001 поставщика в лучшем случае. |
| Физическая форма | Стойка 1U-2U, карта PCIe, усиленный USB-ключ или выделенное сетевое устройство. Начиная с 8 000 €. | Микросхема припаяна к материнской плате (TPM 2.0) или виртуализирована (vTPM). Несколько евро за машину. | Бесплатно (HashiCorp Vault, OpenStack Barbican) или SaaS (AWS KMS без CloudHSM). |
| Типичный вариант использования | Квалифицированная подпись eIDAS, корень PKI, соответствие PCI-DSS, государственная тайна. | Защищённая загрузка, шифрование локального диска, аттестация Windows Hello. | Прикладное шифрование, secrets DevOps, некритичные внутренние сертификаты. |
| Общая стоимость владения | 8 000 € — 80 000 € за устройство + техническое обслуживание + аудит. Можно распределить через облако (€/час). | Маржинальная стоимость (уже присутствует на 99 % профессиональных ПК после 2016 года). | Бесплатно в open-source; ~0,03 $/ключ/месяц в управляемом SaaS (AWS KMS, Azure Key Vault). |
Часто задаваемые вопросы — HSM
- В чём разница между HSM и TPM?
- TPM (Trusted Platform Module) — это микросхема, припаянная к материнской плате почти всех современных корпоративных компьютеров. Она служит для защиты загрузки, шифрования диска (BitLocker) и уникальной идентификации машины. HSM (Hardware Security Module) — это автономный блок, предназначенный для управления корпоративными криптографическими ключами. Он служит для подписания документов на квалифицированном уровне eIDAS, размещения корневого сертификата центра сертификации или защиты банковских ключей шифрования. TPM стоит несколько евро за машину; HSM стоит несколько тысяч или десятки тысяч евро и имеет смысл только на уровне организации.
- Действительно ли шифрование HSM неуязвимо?
- Никакая защита не является абсолютной, но шифрование HSM сегодня представляет собой наивысший уровень доступной аппаратной защиты. HSM, сертифицированные по стандарту FIPS 140-3 уровня 3 или Common Criteria EAL4+, устойчивы к атакам по побочным каналам (анализ потребления энергии, электромагнитные излучения), атакам с внедрением сбоев (нарушения напряжения или температуры) и автоматически стирают ключи при физическом открытии корпуса (tamper response). За последние 10 лет не было задокументировано ни одного публично известного компрометирования корректно управляемого HSM в рабочей среде.
- Нужно ли покупать HSM для использования квалифицированной электронной подписи?
- Нет, если только вы сами не являетесь поставщиком услуг доверия. Для подписи QES ваши закрытые ключи хранятся в HSM квалифицированного QTSP (Universign, Certinomis, LuxTrust и их партнеры, такие как Certyneo), включенного в европейский список доверия eIDAS. Вы никогда не видите HSM напрямую — вы взаимодействуете с ним через сильную аутентификацию (смарт-карта или Remote QES через MFA + биометрия начиная с eIDAS 2.0).
- В чем разница между HSM и KMS?
- KMS (Key Management Service) — это программное обеспечение, которое управляет жизненным циклом криптографических ключей — генерация, ротация, архивирование, аудит. HSM — это аппаратный компонент, который физически выполняет криптографические операции над этими ключами. Это не конкурирующие решения: серьезный KMS опирается на HSM в фоне (AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM). Чисто программный KMS (без HSM) достаточен для некритичного внутреннего использования, но не соответствует нормативным требованиям PCI-DSS, eIDAS QES или HIPAA HSM.
- Кто являются основными производителями HSM в 2026 году?
- Рынок HSM доминируется пятью производителями: Thales (линейки Luna и payShield, исторический лидер), Utimaco (CryptoServer, поставщик для многих европейских QTSP), Atos Eviden (Trustway Proteccio, квалификация ANSSI Renforcée), Marvell LiquidSecurity (облачный HSM для AWS и Azure) и Entrust nShield. Гиперскейлеры предлагают собственные общие решения: AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM. Для квалифицированной подписи eIDAS решающим критерием является сертификация Common Criteria EAL4+ с Protection Profile EN 419 221-5.
- Можно ли арендовать HSM в облаке вместо его покупки?
- Да. AWS CloudHSM, Azure Dedicated HSM и Google Cloud HSM арендуют выделенные HSM, сертифицированные по FIPS 140-2 уровня 3 (обычно от 1 до 3 €/час). Для квалифицированной подписи eIDAS этих предложений недостаточно — требуется квалифицированный QTSP, который управляет собственным HSM и включен в европейский список доверия. Преимущество облачного HSM — эластичность (нет капитальных затрат, нет физического обслуживания), за счет зависимости от гиперскейлера, часто американского (чувствительный вопрос в отношении Cloud Act и европейского цифрового суверенитета).
- Как проверить, что поставщик услуг подписи действительно использует сертифицированный HSM?
- Поставщик должен быть включен в европейский список доверия eIDAS (https://eidas.ec.europa.eu/) в качестве QTSP (Qualified Trust Service Provider). Эта регистрация выдается только после аудита аккредитованной организацией (во Франции LSTI/COFRAC, в Германии TÜV), которая проверяет соответствие используемого HSM стандартам EN 419 221-5 и EN 419 241-2 (Remote QES начиная с eIDAS 2.0). Дополнительно попросите у поставщика номер сертификации Common Criteria его HSM — серьезный QTSP публикует эту информацию в своей технической документации.
Для дальнейшего изучения
Рекомендуемые статьи
Шифрование сквозного канала: значение и безопасность
Шифрование сквозного канала (E2EE) — это технологический фундамент конфиденциальности электронно подписанных документов. Понимание его работы означает овладение безопасностью ваших договорных обменов.
8 min
HSM vs TPM : какая разница и какой выбрать ?
HSM и TPM — это две технологии аппаратной безопасности, часто путаемые между собой, но с очень различными ролями. Узнайте, как выбрать нужный модуль в соответствии с вашими потребностями.
8 min
Шифрование HSM: функционирование и приватные ключи (2026)
Шифрование HSM — невидимая основа всей квалифицированной электронной подписи. Понимание её работы означает овладение криптографической безопасностью вашего предприятия.
9 min
Нужна квалифицированная подпись с HSM?
Certyneo использует HSM, сертифицированные по стандарту Common Criteria EAL4+ и управляемые квалифицированным QTSP, включенным в европейский список доверия eIDAS. QES за 9,90 €/документ начиная с плана Standard.