
Säkra dina signerade dokument med TLS-kryptering
TLS-kryptering har blivit oumbärlig för att skydda dina elektroniskt signerade dokument. Upptäck de bästa metoderna för att säkra dina dokumentflöden i enlighet med eIDAS.
En HSM (Hardware Security Module) är en okränkbar elektronisk enhet som genererar, lagrar och använder kryptografiska nycklar utan att någonsin exponera dem klart utanför lådan. Det är den maskinella komponenten som möjliggör kvalificerad elektronisk signatur (QES) enligt eIDAS-förordningen, offentlig nyckelkryptering (PKI), en certifieringsmyndighets (CA) förtroendegrund och mer allmänt alla kryptografiska transaktioner som kräver en garanti för fysisk och logisk okränkbarhet.
En HSM är en maskinvara som utför kryptografiska operationer (nyckelgenerering, signatur, kryptering, dekryptering, hash) i en förseglad fysisk enklave. Privatnycklar lämnar aldrig HSM: varje försök till fysisk utvinning utlöser omedelbart borttagning (tamper response).
En applikation som vill signera ett dokument skickar dokumentets hash (SHA-256) till HSM via ett standardiserat API (PKCS#11, KMIP, CNG, JCE). HSM signerar hashen med en privat nyckel som exklusivt finns i enklaven och skickar sedan tillbaka signaturen. Det undertecknade dokumentet innehåller signaturen och motsvarande offentligt certifikat men den privata nyckeln är oförstörligt skyddad. Detta skiljer en kvalificerad eIDAS-signatur (QES, HSM-stöttad leverantörs sida) från en enkel (SES, utan fysikaliska påtryckningar) eller avancerad (AES, nyckel som kontrolleras av signaten) signatur.
HSM är inte en allmänhetens tjänst: det krävs när en förordning, standard eller kontrakt kräver en materiell garanti för att nycklarna är oförstörbara.
Enligt den europeiska eIDAS-förordningen (EU 910/2014) ska en kvalificerad signatur genereras av en QSCD-enhet som är certifierad i praktiken, en HSM som är certifierad enligt EN 419 221-5 eller Common Criteria EAL4+.
HSM:er hanterar nyckelkrypteringsnycklar (Key Encryption Keys, KEK) som krypterar krypteringsnycklar för databaser, diskar (BitLocker, LUKS) eller säkerhetskopior.
Varje rot-, mellanhänder- eller utfärdande certifieringsmyndighet (CA) använder en HSM för att generera och använda nyckeln som signerar X.509-certifikat.
Cloud-plattformarna (AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM) erbjuder gemensamma eller dedikerade HSM för att hantera den fullständiga nyckellivscykeln: generation, rotation, avledning, arkivering, förstörelse.
TLS-certifikat för kritisk infrastruktur (banks gateways, kodsignering av programvara, rot CA för IoT-tillverkare) skyddas av HSM. HSM signerar utgående certifikat utan att någonsin exponera rotnyckeln även om värdservern är helt kompromitterad.
Alla certifieringar har inte samma värde. Certifieringsnivån bestämmer vilka regler som användningen av HSM ger rätt till (eIDAS QSCD, PCI-DSS HSM, sekretesskontrakt för försvaret).
FIPS 140-2 (utgivet 2001, återkallad 2026) och efterföljaren FIPS 140-3 (genomförd 2019 och obligatorisk för nya produkter 2024) definierar fyra säkerhetsnivåer. Nivå 3 (nycklar raderade om enklaven är öppen) är minimalt för bank- och offentlig PKI; nivå 4 (motstånd mot hjälpkanalattacker och miljövariationer) krävs för vissa hemliga försvarsanvändningar.
Common Criteria är den internationella standarden för säkerhetsanalys av IT-produkter. För HSM krävs Common Criteria EAL4+ med skyddsprofil EN 419 221-5 i eIDAS-förordningen för kvalificerade signaturskapande enheter (QSCD).
ETSI-standarderna fastställer de tekniska krav som en kvalificerad förtroendeleverantör (QTSP) enligt eIDAS måste uppfylla, inklusive användningen av HSM som är certifierade enligt EN 419 221-5. En QTSP som finns med på den europeiska förtroendeförteckningen (eIDAS TL) har granskats mot dessa standarder av en ackrediterad organisation (i Frankrike: LSTI, COFRAC).
ANSSI publicerar en General Security Referential (GRS) och utfärdar Standard och Reinforced -kvalifikationer för kryptografiska produkter.
Det är viktigt att man väljer rätt nyckel, beroende på vad som är värt att skydda, hur regleringsmässigt och budgetmässigt det är.
| Dimension | HSM | TPM | KMS-programvara |
|---|---|---|---|
| Syfte | Skydd av företags- och infrastrukturkryptografiska nycklar (QES, PKI, KMS). | Säkra start och identifiera maskinen (BitLocker, TPM 2.0-certifikat). | Centralisera nyckellivscykeln i minne/disk utan fysisk isolering. |
| Kryptografisk överföring | Flera tusen RSA-2048 signaturer per sekund (högsta klassens modeller: 25 000+ sig/s). | Ett par signaturer per sekund lokalt orienterad, punktlig användning. | Innehållande en bredd på minst 10 mm, men högst 10 mm |
| Reglerande certifieringar | FIPS 140-2/3, Common Criteria EAL4+, EN 419 221-5 (QSCD eIDAS). | Common Criteria EAL4+ för TPM 2.0 (Microsoft Pluto, Google Titan). | Ingen certifiering av material. ISO 27001 från leverantören bäst. |
| Materiell form | 1U-2U rack, PCIe-kort, hårdgjord USB-minne eller en dedikerad nätverksutrustning. | Chip svetsad på moderkortet (TPM 2.0) eller virtualiserad (vTPM). | Gratis (HashiCorp Vault, OpenStack Barbican) eller SaaS (AWS KMS utan CloudHSM). |
| Typiskt användningsfall | eIDAS-kvalificerad signatur, PKI-root, PCI-DSS-kompatibilitet, säkerhetsskydd. | Säker start, kryptering av lokaldisken, Windows Hello-certifikat. | Applikationskryptering, DevOps-hemligheter, icke-kritiska interna certifikat. |
| Totalt innehavskostnad | 8 000 € till 80 000 € per apparat + underhåll + revision. | Marginalkostnad (som redan finns i 99% av professionella PC efter 2016) | Gratis i öppen källkod; ~ 0,03 dollar/nyckel/månad i hanterad SaaS (AWS KMS, Azure Key Vault). |

TLS-kryptering har blivit oumbärlig för att skydda dina elektroniskt signerade dokument. Upptäck de bästa metoderna för att säkra dina dokumentflöden i enlighet med eIDAS.

Kryptering från slut till slut är den tekniska grundpelaren för konfidentialitet hos elektroniskt signerade dokument. Att förstå hur det fungerar innebär att behärska säkerheten i dina avtalsmässiga utbyten.
HSM och TPM är två hårdvaruresäkerhetsteknik som ofta förväxlas, men har helt olika roller. Upptäck hur du väljer rätt modul enligt dina behov.
HSM-kryptering är den osynliga grunden för all kvalificerad elektronisk signatur. Att förstå hur det fungerar är att behärska den kryptografiska säkerheten för ditt företag.
Certyneo bygger på HSM som är certifierade enligt Common Criteria EAL4+ och drivs av en kvalificerad QTSP som finns med på den europeiska eIDAS-trustedlistan.
Vi använder cookies för att förbättra din upplevelse på vår webbplats. Cookies som är strikt nödvändiga för servicens funktion är alltid aktiva. Läs mer