HSM vs TPM: farklar ve hangisini seçmeli?

Giriş: iki modül, iki güvenlik felsefesi

Uygulamalı kriptografi ve dijital anahtar koruması alanında, DSI ve RSSI tartışmalarında sistematik olarak geri dönen iki teknoloji vardır: HSM (Hardware Security Module) ve TPM (Trusted Platform Module). Bu iki donanım cihazı ortak bir hedefi paylaşır — hassas kriptografik işlemleri korumak — ancak mimarileri, kullanım durumları ve sertifikasyon seviyeleri temel olarak farklıdır. İkisini karıştırmak, uygun olmayan altyapı seçimlerine ve hatta düzenleyici uyum eksikliklerine yol açabilir. Bu makale size HSM vs TPM farkını anlamak, birini veya diğerini ne zaman kullanacağınızı belirlemek ve 2026'da kuruluşunuz için en iyi kararı vermek için anahtarları sunar.

---

HSM (Hardware Security Module) Nedir?

Bir Hardware Security Module, kriptografik anahtarları fiziksel ve mantıksal olarak güvenli bir ortamda oluşturmak, depolamak ve yönetmek için özel olarak tasarlanan adanmış bir donanım cihazıdır. Genellikle PCIe kartı, ağ gereçi veya bulut hizmeti (HSM as a Service) biçiminde olan bağımsız bir bileşendir ve ana işlevi, anahtarları hiçbir zaman şifresiz olarak modülün dışına açmadan yüksek performanslı kriptografik işlemleri yürütmektir.

HSM'nin Teknik Özellikleri

HSM'ler, özellikle NIST Amerikan kurumu tarafından yayınlanan FIPS 140-2 / FIPS 140-3 (seviyeler 2, 3 veya 4) ve ISO/IEC 15408 standardına göre Common Criteria EAL4+ dahil olmak üzere katı uluslararası standartlara göre sertifikalandırılmıştır. Bu sertifikasyonlar, fiziksel tahrifat-dirençli mekanizmalar (tamper-resistance), izinsiz giriş dedektörleri ve ihlal girişimi durumunda anahtarların otomatik silinmesini gerektirir.

Tipik bir HSM şunları sunar:

• Yüksek işleme kapasitesi: saniyede binlerce RSA veya ECDSA işlemi
• Multi-tenancy: yüzlerce bağımsız kriptografik bölümün yönetimi
• Standartlaştırılmış arayüzler: PKCS#11, Microsoft CNG, JCA/JCE, OpenSSL engine
• Tam denetim izleri: her işlemin değişmez günlüğü

HSM'nin Tipik Kullanım Durumları

HSM'ler, eIDAS düzenlemesinin anlayışında nitelikli elektronik imzanın kalbidir; burada imzalayanın özel anahtarı, nitelikli imza oluşturma cihazında (QSCD) oluşturulmuş ve depolanmış olmalıdır. Bunlar ayrıca sertifika otoriteleri (CA/PKI), ödeme sistemleri (PCI-DSS protokolü HSM), veritabanı şifreleme altyapıları ve ortamları ve ortamları donatır.

Kurumsal nitelikli elektronik imza hemen hemen her zaman, imzaların maksimum yasal değerini garantilemek için QSCD olarak sertifikalandırılmış bir HSM'ye dayanır.

---

TPM (Trusted Platform Module) Nedir?

Trusted Platform Module, doğrudan bir bilgisayarın, sunucunun veya bağlı nesnenin anakartına entegre edilmiş bir güvenlik çipidir. Trusted Computing Group (TCG) tarafından standartlaştırılmış, TPM 2.0 spesifikasyonu ayrıca ISO/IEC 11889:2015 altında normalizedir ve TPM, merkezi bir paylaşılan kriptografik hizmet yerine platformun kendisini güvenli hale getirmek için tasarlanmıştır.

TPM Mimarisi ve İşleyişi

HSM'nin aksine, TPM tek kullanımlık bir bileşendir ve belirli bir donanım cihazına bağlıdır. Birden çok makine arasında taşınamaz veya paylaşılamaz. Ana işlevleri şunları içerir:

• Önyükleme bütünlüğü ölçümü (Secure Boot, Measured Boot) via Platform Configuration Registers (PCR)
• Platforma bağlı anahtar depolama: TPM tarafından oluşturulan anahtarlar yalnızca onları oluşturan makinede kullanılabilir
• Kriptografik rasgele sayı oluşturma (RNG)
• Uzaktan kanıtlama: platformun bilinen bir güven durumunda olduğunu uzak sunucuya kanıtlama
• Birim şifreleme: Windows'ta BitLocker, Linux'ta dm-crypt with TPM doğrudan TPM'ye dayanır

Gelişmiş Kurumsal Kullanımlar için TPM Sınırlamaları

TPM 2.0 en iyi ihtimalde FIPS 140-2 seviye 1 olarak sertifikalandırılmıştır; bu profesyonel HSM'lerin FIPS 140-3 seviye 3 sertifikasyonlarından önemli ölçüde düşüktür. Kriptografik işleme kapasitesi sınırlıdır (saniyede birkaç düzine işlem) ve PKCS#11 veya CNG arayüzlerini adanmış bir HSM kadar kapsamlı şekilde desteklemez. İleri veya nitelikli elektronik imza için, TPM tek başına genellikle QSCD'lerde eIDAS eki II gereksinimlerine göre yetersizdir.

---

Temel Farklar HSM vs TPM: Karşılaştırmalı Tablo

HSM vs TPM arasındaki farkını anlamak, işletme için belirleyici kriterlerin yapılandırılmış bir karşılaştırmasını gerektirir.

Sertifikasyon Seviyesi ve Güvenlik Güvencesi

| Kriter | HSM | TPM | |---|---|---| | FIPS Sertifikasyonu | 140-3 seviye 2 ila 4 | 140-2 seviye 1 | | Common Criteria | EAL4+ ila EAL7 | EAL4 | | eIDAS QSCD Yeterliği | Evet (örn: Thales Luna, Utimaco) | Hayır | | Fiziksel Tahrifat Direnci | İleri (otomatik silinme) | Temel |

Kapasite, Ölçeklenebilirlik ve Entegrasyon

HSM'ler çok kullanıcılı ve çok uygulamalı cihazlardır: tek bir ağ gereci PKCS#11 veya REST API aracılığıyla yüzlerce istemciyi, uygulamayı ve hizmeti aynı anda sunabilir. Yüksek kullanılabilirlik mimarilerine (etkin-etkin kümeler) entegre olurlar ve endüstriyel kriptografik hızları desteklerler.

TPM ise tasarım gereği tek makine ve tek kiracıdir. Masaüstü güvenliğinde, Windows Hello for Business'da erişim kimlik bilgileri korumasında ve firmware bütünlüğünde mükemmeldir. Belge iş akışlarında elektronik imza işlemleri için, TPM paylaşılan bir kriptografik hizmeti oynayamaz.

Maliyet ve Dağıtım

Kurumsal düzey bir ağ HSM'si (Thales Luna Network HSM, Utimaco SecurityServer, AWS CloudHSM) 15.000 € ila 80.000 € aralığında bir yatırımı temsil eder (on-premise donanım için) veya sağlayıcılara bağlı olarak buluta bulunan yönetimde saatte 1,50 € ila 3,00 € arasında değişir. TPM ise 2014'ten bu yana neredeyse tüm profesyonel PC'lere, sunuculara ve gömülü sistemlere hiçbir ek maliyetle entegre edilmiştir (2021'den bu yana Windows 11 için zorunludur).

---

Kurumsal Ortamda Bir HSM Kullanırken, TPM Kullanırken?

Bu sorunun cevabı, işletme bağlamınıza, düzenleyici yükümlülüklerinize ve bilgi sistemi mimarinize bağlıdır.

Bir HSM Seçin:

• İç PKI dağıtmak için: sertifika yetkinizin kök anahtarları, tarayıcılar tarafından güveni elde etmek için sertifikalandırılmış bir HSM'de mutlaka bulunmalıdır (CA/Browser Forum Baseline Requirements)
• Nitelikli elektronik imzalar yayınlamak için: eIDAS n°910/2014 düzenlemesinin eki II uyarınca, QSCD'ler en azından EAL4+ eşdeğer standartlara göre sertifikalandırılmalıdır; elektronik imza çözümlerinin karşılaştırması bu gereklilikleri ayrıntılandırır
• Yüksek hacimli finansal işlemleri güvenli hale getirmek için: PCI-DSS v4.0 standartları (bölüm 3.6) kart verisi şifreleme anahtarlarının HSM'lerde korunmasını zorunlu kılar
• Veritabanı veya bulut şifreleme için: AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM anahtarlar üzerinde kontrolü sürdürmeyi sağlar (BYOK / HYOK)
• Kod imzalama ve CI/CD derlemeleri bütünlüğü için: yazılım yapıtlarının imzalanması, anahtar hırsızlığını önlemek için bir HSM gerektirir

Bir TPM Seçin:

• İş istasyonları ve sunucuların önyüklemesini güvenli hale getirmek için: Secure Boot + Measured Boot + TPM 2.0 aracılığıyla uzaktan kanıtlama, endpoint'te Zero Trust'ın temelini oluşturur
• Tam disk şifrelemesi için: BitLocker TPM ile, harici hizmete bağımlılık olmadan verileri sağlamlaştırır
• İş istasyonlarının donanım kimliğini doğrulamak için: Windows Hello for Business TPM'yi kullanarak özel kimlik doğrulama anahtarlarını depolamaz ve çıkarma olanağı yoktur
• NIS2 uyumluluğu endpoint güvenliği için: NIS2 yönergesi (AB 2022/2555), 13 Haziran 2024 Fransız yasası tarafından Fransız hukuku olarak çıkarılmıştır, bilgi sistemi güvenliği için uygun teknik önlemleri zorunlu kılar; TPM doğrudan materyal varlıkların güvenliğine katkıda bulunur
• Endüstriyel IoT projeleri için: gömülü TPM'ler otomat ve SCADA sistemlerinde, adanmış HSM altyapısı olmadan uzaktan kanıtlamaya izin verir

HSM + TPM Hibrit Mimariler

Büyük kuruluşlarda, HSM ve TPM karşıtlık değildir: birbirini tamamlarlar. TPM 2.0 ile donatılmış bir sunucu, bütünlüğünü merkezi bir yönetim hizmetine kanıtlayabilir, işletme kriptografik işlemler (imza, uygulama veri şifrelemesi) bir HSM ağ kümesine devredilir. Bu mimari, ANSSI tarafından hizmet sağlayıcıları risk yönetimi rehberinde (PSCE) önerilir. Elektronik imza sözlüğüne danışmak, mimari tanımlanması sırasında teknik ekiplerinin terminolojiyi uyumlu hale getirmesine yardımcı olabilir.

HSM ve TPM'ye Uygulanabilir Yasal ve Normatif Çerçeve

HSM vs TPM seçimi, kuruluşunuzun çeşitli Avrupa ve uluslararası düzenleyici standartlara uygunluğu doğrudan etkiler.

eIDAS n°910/2014 ve eIDAS 2.0 Düzenlemesi (AB Düzenlemesi 2024/1183)

eIDAS düzenlemesinin 29. maddesi, nitelikli elektronik imzaların, eki II'de tanımlanan Qualified Signature Creation Device (QSCD) aracılığıyla oluşturulması gerektiğini zorunlu kılar. Bu cihazlar özel anahtarın gizliliğini, benzersizliğini ve ihlal edilmezliğini garantilemek gerekir. Tanınan QSCD'lerin listesi ulusal akreditasyon organları tarafından yayınlanır (Fransa'da: ANSSI). FIPS 140-3 seviye 3 veya Common Criteria EAL4+ olarak sertifikalandırılmış HSM'ler bu listede yer alır; TPM'ler yer almaz. Certyneo gibi bir imza sağlayıcısı, yayınlanan imzaların maksimum kanıt değerini garantilemek için nitelikli HSM'lere dayanır.

Fransız Medeni Kanunu, Maddeler 1366 ve 1367

Madde 1366, elektronik yazının yasal değerini "yazarı uygun şekilde tanımlanabilmesi ve bütünlüğünü garanti edecek şartlarda kurulmuş ve korunmuş olması koşuluyla" tanır. Madde 1367, nitelikli elektronik imza koşullarını açıklığa kavuşturarak örtük olarak eIDAS gereksinimlerine başvurur.

GDPR n°2016/679, Maddeler 25 ve 32

Tasarım gereği gizlilik prensibi (madde 25) ve uygun teknik tedbirler yükümlülüğü (madde 32), kişisel veriler şifrelemek için kullanılan kriptografik anahtarların korunmasını zorunlu kılar. Sertifikalandırılmış bir HSM'nin kullanılması, CNIL denetimi sırasında uyumluluğu göstermek için son teknoloji önlemini oluşturur (GDPR'nin 83. preamülü anlamında).

NIS2 Yönergesi (AB 2022/2555), Fransa'da Aktarılmıştır

NIS2 yönergesi, Ekim 2024'ten itibaren gerekli ve önemli varlıklar için geçerli, madde 21'de yazılım tedarik zinciri güvenliği ve şifreleme de dahil olmak üzere risk yönetimi önlemlerini zorunlu kılar. HSM'ler kritik operasyonlar için bu gereklilikleri doğrudan karşılarken, TPM'ler endpoint güvenliğine katkıda bulunur.

ETSI Standartları

ETSI EN 319 401 (güven hizmetleri sağlayıcıları için genel gereklilikler) ve ETSI EN 319 411-1/2 (nitelikli sertifikalar yayınlayan CA'lar için gereklilikler) HSM'lerde depolanmış CA anahtarlarını zorunlu kılar. ETSI EN 319 132 (XAdES) ve ETSI EN 319 122 (CAdES) sertifikası yapılan modüllerin kullanımını varsayar.

ANSSI Önerileri

ANSSI, Genel Güvenlik Başvuru (RGS) ve HSM rehberlerini yayınlar, hassas PKI altyapısı ve kamu kuruluşlarındaki nitelikli modüllerin kullanılmasını önerir. Bu önerilere uyulmaması, etkilenen varlıklar için NIS2 yükümlülüklerindeki bir ihlal oluşturabilir.

Kullanım Senaryoları: Bağlama Göre HSM veya TPM

Senaryo 1: İç PKI'si olan bir finansal varlık yönetim şirketi

Yönetilen birkaç milyar euroya sahip varlık yönetimi yapan bir yönetim şirketi, yasal raporlar (AIFMD, MiFID II) ve nitelikli yasal değere sahip elektronik olarak imzalanmış yatırım sözleşmeleri imzalaması gerekir. İç bir PKI dağıtır; kök (Root CA) ve ara (Issuing CA) anahtarları, FIPS 140-3 seviye 3 olarak sertifikalandırılmış iki ağ HSM'de yüksek kullanılabilirlik kümesinde korunur. Nitelikli sertifikalar, eIDAS QSCD uyumlu ortak HSM'lerde yayınlanır. Sonuç: tüm imzalar nitelikli değere sahiptir, AMF düzenleyici denetimleri uyumluluğu onaylar ve yatırım belgeleri imzalama süresi 4 günden 2 saatin altına düşer. HSM altyapı maliyeti, potansiyel uyum olmama maliyetlerine kıyasla 18 aydan az sürede amortize edilir.

Senaryo 2: Çalışanı 150 kişi olan bir endüstriyel KOBİ masaüstü öğretisini güvenli hale getirmesi

Havacılık imalat sektöründe faaliyet gösteren, CMMC (Cybersecurity Maturity Model Certification) ve NIS2 önerileri kapsamında 2. derece tedarikçi olan bir KOBİ, 150 masaüstü Windows'u hassas teknik veriler hırsızlığına karşı güvenli hale getirmesi gerekir. RSSI, tüm araştırma için BitLocker TPM 2.0 ile dağıtır, Windows Hello for Business tarafından şifresiz kimlik doğrulamaya eşlik eder. TPM aracılığıyla uzaktan kanıtlama, MDM çözümüne entegre edilir (Microsoft Intune). Bu bağlamda hiçbir HSM gerekli değildir: masaüstü Dell ve HP'lere entegre TPM'ler yeterlidir. Sonuç: Fiziksel laptop hırsızlığı nedeniyle veri sızıntısı riski neredeyse sıfıra indirilir ve KOBİ siber güvenlik olgunluk puanı CMMC otomatik değerlendirmesine göre %40 artar. Ek maliyet: 0 € (TPM makinelere zaten entegre edilmiştir).

Senaryo 3: Çok istemcili elektronik imza SaaS platformunun operatörü

Yüzlerce kurumsal müşteriye elektronik imza hizmetleri sunan bir SaaS operatörü, müşteriler arasında kriptografik yalıtım ve eIDAS niteliğini garanti etmesi gerekir. Bulut HSM modunda adanmış bir mimari dağıtır (AWS CloudHSM veya Thales DPoD), büyük müşteriler için kiracı başına HSM bölümü ve standart istemciler için paylaşılan havuz. Her müşteri, bağımsız olarak denetlenebilir, yalıtılmış bölümde anahtarlardan yararlanır. TPM'ler, eIDAS sertifikasyonu denetimleri sırasında platform bütünlüğü kanıtlaması için uygulama sunucularını donatır. Sonuç: operatör ANSSI QTSP yeterliliğini elde eder ve nitelikli imzalar yayınlamaya izin verir. HSM as a Service modeli, on-premise çözümlere göre altyapı capex'ini %60 oranında azaltır, karşılaştırılabilir sektör kriterlerine göre.

Sonuç

HSM vs TPM farkı temeldir: HSM, PKI'lar, nitelikli eIDAS imzaları ve PCI-DSS veya NIS2 uyumluluğu için paylaşılan, yüksek performans ve çok uygulamalı kriptografik bir hizmettir. TPM, belirli bir donanım platformuna bağlı güven bileşenidir, endpoint güvenliği, güvenli önyükleme ve yerel kimlik doğrulama için idealdir. 2026'daki çoğu olgun kurumsal mimaride ikisi de komplementer rolleriyle birlikte bulunur.

Nitelikli elektronik imza çözümünü sertifikalandırılmış HSM altyapısına dayanan nitelikli elektronik imza çözümü dağıtmayı hedefleyen ve iç kompleksiteyi yönetmek istemeyen kuruluşlar için Certyneo, eIDAS ve GDPR uyumlu, hazır SaaS platformu sunmaktadır. Certyneo fiyatlandırmasını keşfedin veya uzmanlarımızla iletişime geçin kriptografik ihtiyaçlarınızın denetimi için.