Pojdite na glavno vsebino
Certyneo
Materijalna kriptografija · FIPS 140-3 · CC EAL4+

HSM (Hardware Security Module): zakaj in kdaj ga uporabiti

HSM (Hardware Security Module, v slovenščini modul materijalne varnosti) je elektronska naprava, ki je odporna na nezakonito dostopanje, ki ustvari, shranjuje in uporablja kriptografske ključe brez da bi jih kdaj izpostavila v čistem obliki izven ohišja. To je materijalna komponenta, ki omogoča kvalificirani elektronski podpis (QES) v smislu uredbe eIDAS, šifriranje z javnim ključem (PKI), koren zaupanja avtoritete za potrdila (CA) in širše katero koli kriptografsko operacijo, ki zahteva zagotovilo nepremagljivosti fizične in logične. Ta vodnik razloži konkretno, kaj je HSM, za kaj se uporablja, kako je certificiran (FIPS 140-2, FIPS 140-3, Common Criteria EAL4+), in po čem se razlikuje od TPM ali čistega programskega KMS.

Kaj je HSM, konkretno?

HSM je materijalni preplet (rack 1U, kartica PCIe, USB ključ ali omrežna naprava), ki izvaja kriptografske operacije (ustvarjanje ključev, podpis, šifriranje, dešifriranje, zgoščevanje) znotraj zapečatenega fizičnega ograjo. Zasebni ključi nikoli ne zapustijo HSM: vsak poskus izvleka fizičnih sprožitev takojšnjega brisanja (odziv na manipulacijo). Preplet je zasnovan tako, da se upira napadom prek pomožnega kanala (analiza porabe elektrike, elektromagnetne emisije, perturbacije napetosti), napadom s povrnjenjem bitov (fault injection) in opazovanjem skozi elektronski mikroskop.

Konkretno, aplikacija, ki želi podpisati dokument, pošlje HSM povzetek (hash SHA-256) dokumenta prek standardiziranega vmesnika API (PKCS#11, KMIP, CNG, JCE). HSM podpiše povzetek z zasebnim ključem, ki se nahaja izključno v svojem ograjenju, nato vrne podpis. Podpisani dokument vsebuje podpis in ustrezno javno potrdilo — vendar zasebni ključ ostane nepremagljivo zaščiten. To je razlika med kvalificiranim podpisom eIDAS (QES, podprt HSM pri kvalificiranem ponudniku) in enostavnim podpisom (SES, brez materijalne omejitve) ali naprednim (AES, s ključem nadzorovanim s strani podpisnika).

Pet uporab, kjer je HSM nepogrešljiv

HSM ni velika javna komodeta: potreben je vsakič, ko zakonodaja, standard ali pogodba zahteva materialno garancijo nespremenljivosti ključev.

Kvalificiran podpis eIDAS (QES)

Uredba EU eIDAS (EU 910/2014) zahteva, da je kvalificiran podpis ustvarjen z certificiranim kvalificiranim napravom za ustvarjanje podpisov (QSCD) — v praksi s certificirano napravo HSM EN 419 221-5 ali Common Criteria EAL4+. HSM kvalificiranega ponudnika storitev zaupanja (QTSP) hrani zasebni ključ podpisovalca in izvede podpis.

Šifriranje občutljivih podatkov

HSM-ji upravljajo glavne ključe (Key Encryption Keys, KEK), ki šifrirajo ključe za šifriranje baz podatkov, diskov (BitLocker, LUKS) ali varnostnih kopij. Tipičen primer: skladnost PCI-DSS za procesorje plačil, HIPAA / HDS za zdravstvene podatke, vojaška varnost za državne institucije.

Overitelj (PKI)

Vsak overitelj (CA) — korenska, vmesna ali izdajoča — uporablja HSM za ustvarjanje in uporabo ključa, ki podpisuje certifikate X.509. Korenska ključ javnega overitelja (Let's Encrypt, DigiCert, Sectigo) ali zasebnega podjetja (Active Directory CS, ADFS) mora biti shranjen v certificiranem HSM.

Upravljanje kriptografskih ključev (KMS)

Oblačne platforme (AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM) ponujajo skupne ali namenske HSM-je za upravljanje popolnega životnega cikla ključev: generiranje, rotacija, izpeljava, arhiviranje, uničenje. Prednost pred čisto programsko KMS: dokazljiva zaščita pred spreminjanjem, ki jo lahko nasprotujejo regulatorji in revizorji.

Korenska TLS in kritični strežniški certifikati

TLS certifikati kritične infrastrukture (bančna vrata, podpisovanje programske kode, korenska CA proizvajalcev IoT) so zaščiteni z HSM. HSM podpiše odhodne certifikate, ne da bi kdaj razkrila korenski ključ — tudi v primeru popolne kompromitiranosti matičnega strežnika.

Certificiranja HSM: kaj je treba vedeti

Vsa certificiranja nimajo enake vrednosti. Raven certificiranja določa, katerim pravilnikom je HSM namenjen (eIDAS QSCD, PCI-DSS HSM, pogodbe vojaške varnosti).

FIPS 140-2 in FIPS 140-3 (NIST, ZDA)

FIPS 140-2 (objavljen leta 2001, umaknjen iz aktivnega kataloga leta 2026) in njegov naslednik FIPS 140-3 (v veljavi od 2019, obvezen za nove proizvode od 2024) določajo 4 ravni varnosti. Raven 3 (ključi izbrisani, če je ovitek odprt) je minimum za bančno in javno PKI; raven 4 (odpornost na napade stranskih kanalov in spremembe okolja) je potrebna za nekatere vojaške rabe.

Common Criteria EAL4+ (ISO/IEC 15408, mednarodno)

Common Criteria je mednarodni standard za ocenjevanje varnosti proizvodov IT. Za HSM-je je raven Common Criteria EAL4+ s Protection Profile EN 419 221-5 zahtevana s predpisom eIDAS za naprave za ustvarjanje kvalificiranih podpisov (QSCD). To uporabljajo evropski kvalificirani ponudniki storitev zaupanja (QTSP).

ETSI EN 319 411 in 319 412 (Evropa)

Standardi ETSI določajo tehnične zahteve, ki jih mora spoštovati kvalificirani ponudnik storitev zaupanja (QTSP) v smislu eIDAS — vključno z uporabo certifikatov HSM EN 419 221-5. QTSP, ki je na evropski Trusted List (eIDAS TL), je bil revidirano v skladu s temi standardi s strani akreditiranega organa (v Franciji: LSTI, COFRAC).

ANSSI (Francija) in BSI (Nemčija)

ANSSI objavlja General Security Reference (RGS) in podeljuje kvalifikacije «Standard» in «Renforcée» za kriptografske proizvode. Nemški BSI objavlja enakovredna certificiranja (CSPN, BSI-TR). Državne javne uprave lahko zahtevajo ta nacionalna certificiranja poleg evropskih.

HSM v TPM v programski KMS — katero rešitev izbrati?

Prava izbira je odvisna od vrednosti ključev, ki jih je treba zaščititi, normativnih omejitev in proračuna. Tukaj je šest dimenzij, ki usmerjajo odločitev.

DimenzijaHSMTPMProgramski KMS
NamenZaščita kriptografskih ključev podjetja in infrastrukture (QES, PKI, KMS).Zapečatanje zagona in identifikacija naprave (BitLocker, atestacija TPM 2.0). En ključ na napravo.Osredotočanje živalnega cikla ključev v pomnilniku/disku brez materialne izolacije.
Kriptografski prepustnostTisoče podpisov RSA-2048 na sekundo (vrhunski modeli: 25.000+ sig/s).Nekaj podpisov na sekundo — namenjen lokalnim občasnim rabam.Omejena z matičnim CPE (pogosto < 1000 sig/s za RSA-2048).
Regulatorna certificiranjaFIPS 140-2/3, Common Criteria EAL4+, EN 419 221-5 (QSCD eIDAS).Common Criteria EAL4+ za TPM 2.0 (Microsoft Pluton, Google Titan). Nezadostno za QES eIDAS.Brez materialnega certificiranja. ISO 27001 ponudnika v najboljšem primeru.
Fizična oblikaOhišje 1U-2U, kartica PCIe, ojačan USB ključ ali namenjena omrežna naprava. Od 8.000 €.Čip privarjen na matično ploščo (TPM 2.0) ali virtualiziran (vTPM). Nekaj evrov na napravo.Brezplačno (HashiCorp Vault, OpenStack Barbican) ali SaaS (AWS KMS brez CloudHSM).
Tipična rabaKvalificiran podpis eIDAS, korenska PKI, skladnost PCI-DSS, vojaška varnost.Varen zagon, šifriranje lokalnega diska, atestacija Windows Hello.Aplikativno šifriranje, skrivnosti DevOps, interno nekritični certifikati.
Skupni stroški lastništva8.000 € do 80.000 € na napravo + vzdrževanje + revizija. Lahko se deli preko oblaka (€/ura).Marginalni stroški (že prisotni na 99% strokovnih računalnikov po 2016).Brezplačno v odprtem kodu; ~0,03 $/ključ/mesec v upravljanem SaaS (AWS KMS, Azure Key Vault).

Pogosta vprašanja — HSM

Kakšna je razlika med HSM in TPM?
TPM (Trusted Platform Module) je čip, privarjen na matično ploščo skoraj vseh sodobnih strokovnih računalnikov — služi za zapečatanje zagona, šifriranje diska (BitLocker) in edinstveno identifikacijo naprave. HSM (Hardware Security Module) je samostojno ohišje, namenjeno upravljanju podjetniških kriptografskih ključev — služi za podpisovanje dokumentov na ravni kvalificiranega eIDAS, za smer korenske avtoritete certificiranja ali za zaščito bančnih šifrirnih ključev. TPM stane nekaj evrov na napravo; HSM stane nekaj tisoč do desettisočev evrov in je smiseln le na ravni organizacije.
Ali je šifriranje HSM res neprebojno?
Nobena zaščita ni popolna, ampak šifriranje HSM je danes najnovejša razreda materialne zaščite. HSM-ji, certificirani FIPS 140-3 raven 3 ali Common Criteria EAL4+, so odporni na napade stranskih kanalov (analiza porabe, elektromagnetne emisije), na napade z vbrizgavanjem napak (motnje napetosti ali temperature) in sprožijo samodejno izbris ključev v primeru fizičnega odpiranja ohišja (tamper response). V zadnjih 10 letih ni bila dokumentirana nobena kompromitiranost pravilno upravljanega HSM v produkcijskem okolju.
Ali je treba kupiti HSM za uporabo kvalificiranega elektronskega podpisa?
Ne, razen če sami niste ponudnik storitev zaupanja. Za podpisovanje v QES so vaši zasebni ključi shranjeni v HSM kvalificiranega QTSP (Universign, Certinomis, LuxTrust in njihovih partnerjev, kot je Certyneo), ki je na evropski Trusted List. HSM nikoli ne vidite neposredno — z njim komunicirate prek močne avtentifikacije (pametna kartica ali Remote QES prek MFA + biometrija od eIDAS 2.0 dalje).
Kakšna je razlika med HSM in KMS?
KMS (Key Management Service) je programska storitev, ki organizira popoln živalski cikel kriptografskih ključev — generiranje, rotacija, arhiviranje, revizija. HSM je materialna komponenta, ki fizično izvaja kriptografske operacije na teh ključih. Oba nista konkurenca: resna KMS se opira na HSM v ozadju (AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM). Čisto programski KMS (brez HSM) je dovolj za interno kritično uporabo, vendar ne pokriva regulativnih zahtev PCI-DSS, eIDAS QES ali HIPAA HSM.
Kateri so glavni proizvajalci HSM leta 2026?
Trg HSM je vodila pet proizvajalcev: Thales (linije Luna in payShield, zgodovinski vodja), Utimaco (CryptoServer, dobavitelj številnih evropskih QTSP), Atos Eviden (Trustway Proteccio, kvalifikacija ANSSI Renforcée), Marvell LiquidSecurity (HSM natisnjen za AWS in Azure) in Entrust nShield. Hiperskala ponujajo lastne skupne ponudbe: AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM. Za kvalificirani podpis eIDAS je odločilen kriterij certificiranje Common Criteria EAL4+ s Protection Profile EN 419 221-5.
Ali je mogoče najeti HSM v oblaku namesto da ga kupite?
Da. AWS CloudHSM, Azure Dedicated HSM in Google Cloud HSM oddajajo namenske HSM-je certificirane FIPS 140-2 raven 3 (tipično med 1 in 3 €/uro). Za kvalificirani podpis eIDAS te ponudbe same ne zadostujejo — potreben je kvalificirani QTSP, ki upravlja svoj HSM in je na evropski Trusted List. Prednost oblačnega HSM je elastičnost (ni CAPEX, ni fizičnega vzdrževanja), za ceno odvisnosti od hiperskale, pogosto ameriške (občutljiva tema glede Cloud Act in evropske digitalne suverenosti).
Kako preveriti, da ponudnik podpisovanja res uporablja certificiran HSM?
Ponudnik mora biti na evropski Trusted List eIDAS (https://eidas.ec.europa.eu/) kot QTSP (Qualified Trust Service Provider). Ta vpis je dodan le po reviziji s strani akreditiranega organa (v Franciji LSTI/COFRAC, v Nemčiji TÜV), ki preverja skladnost uporabljenega HSM z standardi EN 419 221-5 in EN 419 241-2 (Remote QES od eIDAS 2.0 dalje). Kot dodatek prosite ponudnika za številko certificiranja Common Criteria njegovih HSM — resna QTSP to objavlja v svoji tehnični dokumentaciji.

Za dodatne informacije

Priporočeni članki

Potrebujete kvalificiran podpis, podprt HSM?

Certyneo se opira na HSM-je certificirane Common Criteria EAL4+, ki jih upravlja kvalificirani QTSP na evropski Trusted List eIDAS. QES za 9,90 €/dejanje od načrta Standard naprej.