Яка різниця між HSM і TPM?

TPM (Trusted Platform Module) — це мікросхема, припаяна на материнську плату майже всіх сучасних професійних комп''ютерів — вона запечатує завантаження, шифрує диск (BitLocker) та однозначно ідентифікує машину. HSM (Hardware Security Module) — це автономний модуль, призначений для управління корпоративними криптографічними ключами — він підписує документи на рівні кваліфікованого eIDAS, розміщує корінь центру сертифікації або захищає ключі банківського шифрування. TPM коштує кілька євро за машину; HSM коштує тисячі або десятки тисяч євро і має сенс лише на рівні організації.

Чи є шифрування HSM дійсно невразливим?

Немає абсолютного захисту, але шифрування HSM — це найвищий рівень апаратного захисту, доступний сьогодні. HSM, сертифіковані FIPS 140-3 рівень 3 або Common Criteria EAL4+, стійкі до атак через побічні канали (аналіз споживання, електромагнітні випромінювання), атак fault injection (збурення напруги або температури) і запускають автоматичне видалення ключів у разі фізичного відкриття корпусу (tamper response). На останні 10 років не задокументовано жодного публічного компрометування правильно експлуатованого HSM в промисловому середовищі.

Чи потрібно купувати HSM для використання кваліфікованого електронного підпису?

Ні, хіба що ви самі є поставником послуг довіри. Для підпису QES ваші приватні ключи розміщені в HSM кваліфікованого QTSP (Universign, Certinomis, LuxTrust та їхні партнери, як Certyneo), зареєстрованих в європейському списку довіри eIDAS. Ви ніколи не бачите HSM безпосередньо — взаємодієте з ним через сильну автентифікацію (смарт-карта або Remote QES через MFA + біометрія від eIDAS 2.0).

Яка різниця між HSM і KMS?

KMS (Key Management Service) — це програмне забезпечення, яке управляє життєвим циклом криптографічних ключів — генерація, ротація, архівування, аудит. HSM — це апаратний компонент, який фізично виконує криптографічні операції над цими ключами. Вони не конкуренти: серйозний KMS спирається на HSM у фоні (AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM). Чисто програмного KMS (без HSM) достатньо для внутрішнього використання без критичних вимог, але він не охоплює нормативні вимоги PCI-DSS, eIDAS QES або HIPAA HSM.

Хто основні виробники HSM у 2026?

Ринок HSM домінується п''ятьма виробниками: Thales (лінійки Luna та payShield, історичний лідер), Utimaco (CryptoServer, постачальник багатьох європейських QTSP), Atos Eviden (Trustway Proteccio, кваліфікація ANSSI Renforcée), Marvell LiquidSecurity (хмарний HSM для AWS та Azure) та Entrust nShield. Гіперскейлери пропонують власні муtuалізовані пропозиції: AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM. Для кваліфікованого підпису eIDAS вирішальний критерій — сертифікація Common Criteria EAL4+ з Protection Profile EN 419 221-5.

Чи можна орендувати HSM у хмарі замість його купівлі?

Так. AWS CloudHSM, Azure Dedicated HSM та Google Cloud HSM орендують виділені HSM, сертифіковані FIPS 140-2 рівень 3 (як правило, від 1 до 3 €/година). Для кваліфікованого підпису eIDAS цих пропозицій самих по собі недостатньо — потрібен кваліфікований QTSP, який управляє власним HSM і зареєстрований в європейському списку довіри. Перевага хмарного HSM — еластичність (без CAPEX, без фізичного обслуговування), ціною залежності від гіперскейлера, часто американського (чутлива тема щодо Cloud Act та європейської цифрової суверенності).

Як перевірити, що постачальник служб підпису дійсно використовує сертифікований HSM?

Постачальник повинен бути включений до європейського Довіреного списку eIDAS (https://eidas.ec.europa.eu/) як QTSP (Qualified Trust Service Provider). Цей запис видається лише після перевірки акредитованою організацією (у Франції LSTI/COFRAC, у Німеччині TÜV), яка перевіряє відповідність HSM стандартам EN 419 221-5 та EN 419 241-2 (Remote QES з eIDAS 2.0). Крім того, попросіть у постачальника номер сертифікації Common Criteria його HSM — серйозний QTSP публікує це у своїй технічній документації.

Апаратна криптографія · FIPS 140-3 · CC EAL4+

HSM (Hardware Security Module) : чому та коли його використовувати

HSM (Hardware Security Module, українською — модуль апаратної безпеки) — це незламний електронний пристрій, який генерує, зберігає та використовує криптографічні ключі, ніколи не розкриваючи їх у відкритому вигляді за межами пристрою. Це апаратний компонент, який робить можливим кваліфіковану електронну підпис (QES) у розумінні регламенту eIDAS, шифрування з відкритим ключем (PKI), корінь довіри центру сертифікації (CA) та, в більш широкому сенсі, будь-які криптографічні операції, які вимагають гарантії фізичної та логічної невразливості. Цей посібник пояснює, що таке HSM, для чого він потрібен, як він сертифікований (FIPS 140-2, FIPS 140-3, Common Criteria EAL4+), та чим він відрізняється від TPM або чисто програмного KMS.

Що таке HSM на практиці?

HSM — це апаратний пристрій (стійка 1U, карта PCIe, USB-ключ або мережевий пристрій), який виконує криптографічні операції (генерація ключів, підпис, шифрування, дешифрування, хешування) всередині запечатаної фізичної капсули. Приватні ключі ніколи не залишають HSM: будь-яка спроба фізичного видалення відразу ініціює стирання (tamper response). Пристрій розроблений для опору атакам на побічні канали (аналіз споживання електроенергії, електромагнітне випромінювання, збої напруги), атакам через впорскування помилок (fault injection) та спостереженню під електронним мікроскопом.

На практиці додаток, який хоче підписати документ, надсилає до HSM конденсат (хеш SHA-256) документа через стандартизований API (PKCS#11, KMIP, CNG, JCE). HSM підписує хеш приватним ключем, який розташовується виключно в його капсулі, а потім повертає підпис. Підписаний документ містить підпис та відповідний публічний сертифікат — але приватний ключ залишається невразливо захищеним. Це те, що розрізняє кваліфіковану підпис eIDAS (QES, підтримувану HSM на стороні кваліфікованого постачальника послуг) від простого підпису (SES, без апаратних обмежень) або розширеного (AES, з ключем, контрольованим підписувачем).

П'ять випадків, коли HSM необхідний

HSM — це не споживча послуга: він потрібен всякий раз, коли нормативний акт, стандарт або контракт вимагають матеріальної гарантії невразливості ключів.

Кваліфікована підпис eIDAS (QES)

Європейський регламент eIDAS (UE 910/2014) вимагає, щоб кваліфікована підпис була створена сертифікованим пристроєм для створення кваліфікованого підпису (QSCD) — на практиці HSM, сертифікованим EN 419 221-5 або Common Criteria EAL4+. Це HSM кваліфікованого постачальника послуг довіри (QTSP), який зберігає приватний ключ підписувача та виконує підпис.

Шифрування конфіденційних даних

HSM керують головними ключами (Key Encryption Keys, KEK), які шифрують ключі шифрування баз даних, дисків (BitLocker, LUKS) або резервних копій. Типовий випадок: відповідність PCI-DSS для процесорів платежів, HIPAA / HDS для даних охорони здоров'я, державна таємниця для державних установ.

Центр сертифікації (PKI)

Будь-який центр сертифікації (CA) — кореневий, проміжний або видавець — використовує HSM для генерування та використання ключа, який підписує сертифікати X.509. Кореневий ключ публічного центру сертифікації (Let''s Encrypt, DigiCert, Sectigo) або приватного корпоративного центру (Active Directory CS, ADFS) повинен знаходитися в сертифікованому HSM.

Управління криптографічними ключами (KMS)

Хмарні платформи (AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM) надають загальні або виділені HSM для управління повним життєвим циклом ключів: генерування, ротація, деривація, архівування, знищення. Перевага порівняно з чисто програмним KMS: доказ непорушуваності, що можна довести регуляторам та аудиторам.

Кореневі сертифікати TLS та критичні сертифікати серверів

Сертифікати TLS критичної інфраструктури (банківські шлюзи, підпис програмного коду, кореневі CA виробників IoT) захищені HSM. HSM підписує вихідні сертифікати, ніколи не розкриваючи кореневий ключ — навіть у випадку повної компрометації хост-сервера.

Сертифікація HSM: що потрібно знати

Не всі сертифікації мають однакову цінність. Рівень сертифікації визначає норми, на дотримання яких надає право використання HSM (eIDAS QSCD, PCI-DSS HSM, контракти про державну таємницю).

FIPS 140-2 та FIPS 140-3 (NIST, США)

FIPS 140-2 (опублікований у 2001 році, виключений з активного каталогу у 2026 році) та його наступник FIPS 140-3 (чинний з 2019 року, обов''язковий для нових продуктів з 2024 року) визначають 4 рівні безпеки. Рівень 3 (ключі видаляються при відкритті анклаву) є мінімумом для банківської та публічної PKI; рівень 4 (стійкість до атак побічного каналу та варіацій навколишнього середовища) потрібен для деяких використань державної таємниці.

Common Criteria EAL4+ (ISO/IEC 15408, міжнародний)

Common Criteria — це міжнародний стандарт оцінки безпеки продуктів IT. Для HSM рівень Common Criteria EAL4+ з Protection Profile EN 419 221-5 вимагається Регламентом eIDAS для пристроїв створення кваліфікованого підпису (QSCD). Це те, що використовують європейські кваліфіковані постачальники послуг довіри (QTSP).

ETSI EN 319 411 та 319 412 (Європа)

Стандарти ETSI визначають технічні вимоги, яким повинен відповідати постачальник кваліфікованих послуг довіри (QTSP) відповідно до eIDAS — включаючи використання сертифікованих HSM EN 419 221-5. QTSP, включений до європейського Trusted List (eIDAS TL), був перевірений щодо цих стандартів акредитованою організацією (у Франції: LSTI, COFRAC).

ANSSI (Франція) та BSI (Німеччина)

ANSSI публікує Загальний довідник безпеки (RGS) та видає кваліфікації «Стандартна» та «Посилена» для криптографічних продуктів. Німецький BSI публікує еквівалентні сертифікації (CSPN, BSI-TR). Національні державні установи можуть вимагати ці національні кваліфікації на додачу до європейських сертифікацій.

HSM проти TPM проти програмного KMS — яке рішення вибрати?

Правильний вибір залежить від вартості ключів, які потрібно захистити, нормативних обмежень та бюджету. Ось шість вимірів, які орієнтують рішення.

Вимір	HSM	TPM	Програмне KMS
Призначення	Захист криптографічних ключів підприємства та інфраструктури (QES, PKI, KMS).	Запечатати запуск і ідентифікувати машину (BitLocker, посвідчення TPM 2.0). Один ключ на машину.	Централізувати життєвий цикл ключів в пам''яті/на диску без апаратної ізоляції.
Криптографічна пропускна здатність	Декілька тисяч підписів RSA-2048 за секунду (високорівневі моделі: 25 000+ sig/s).	Кілька підписів за секунду — орієнтовано на локальне точкове використання.	Обмежено CPU хосту (часто < 1000 sig/s для RSA-2048).
Нормативні сертифікації	FIPS 140-2/3, Common Criteria EAL4+, EN 419 221-5 (QSCD eIDAS).	Common Criteria EAL4+ для TPM 2.0 (Microsoft Pluton, Google Titan). Недостатньо для QES eIDAS.	Немає апаратної сертифікації. ISO 27001 постачальника в найкращому випадку.
Матеріальна форма	Стійка 1U-2U, карта PCIe, зміцнена USB-ключ або виділена мережева апаратура. Від 8 000 €.	Чип припаяний до материнської плати (TPM 2.0) або віртуалізований (vTPM). Кілька євро за машину.	Безплатно (HashiCorp Vault, OpenStack Barbican) або SaaS (AWS KMS без CloudHSM).
Типовий варіант використання	Кваліфікований підпис eIDAS, корінь PKI, відповідність PCI-DSS, державна таємниця.	Захищене завантаження, шифрування локального диска, атестація Windows Hello.	Прикладне шифрування, DevOps-секрети, некритичні внутрішні сертифікати.
Загальна вартість володіння	8 000 € - 80 000 € за пристрій + обслуговування + аудит. Можна ділити через cloud (€/година).	Маржинальна вартість (вже присутня на 99 % професійних ПК після 2016).	Безплатно в open-source; ~0,03 $/ключ/місяць у керованому SaaS (AWS KMS, Azure Key Vault).

Часті запитання — HSM

Яка різниця між HSM і TPM?: TPM (Trusted Platform Module) — це мікросхема, припаяна на материнську плату майже всіх сучасних професійних комп''ютерів — вона запечатує завантаження, шифрує диск (BitLocker) та однозначно ідентифікує машину. HSM (Hardware Security Module) — це автономний модуль, призначений для управління корпоративними криптографічними ключами — він підписує документи на рівні кваліфікованого eIDAS, розміщує корінь центру сертифікації або захищає ключі банківського шифрування. TPM коштує кілька євро за машину; HSM коштує тисячі або десятки тисяч євро і має сенс лише на рівні організації.
Чи є шифрування HSM дійсно невразливим?: Немає абсолютного захисту, але шифрування HSM — це найвищий рівень апаратного захисту, доступний сьогодні. HSM, сертифіковані FIPS 140-3 рівень 3 або Common Criteria EAL4+, стійкі до атак через побічні канали (аналіз споживання, електромагнітні випромінювання), атак fault injection (збурення напруги або температури) і запускають автоматичне видалення ключів у разі фізичного відкриття корпусу (tamper response). На останні 10 років не задокументовано жодного публічного компрометування правильно експлуатованого HSM в промисловому середовищі.
Чи потрібно купувати HSM для використання кваліфікованого електронного підпису?: Ні, хіба що ви самі є поставником послуг довіри. Для підпису QES ваші приватні ключи розміщені в HSM кваліфікованого QTSP (Universign, Certinomis, LuxTrust та їхні партнери, як Certyneo), зареєстрованих в європейському списку довіри eIDAS. Ви ніколи не бачите HSM безпосередньо — взаємодієте з ним через сильну автентифікацію (смарт-карта або Remote QES через MFA + біометрія від eIDAS 2.0).
Яка різниця між HSM і KMS?: KMS (Key Management Service) — це програмне забезпечення, яке управляє життєвим циклом криптографічних ключів — генерація, ротація, архівування, аудит. HSM — це апаратний компонент, який фізично виконує криптографічні операції над цими ключами. Вони не конкуренти: серйозний KMS спирається на HSM у фоні (AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM). Чисто програмного KMS (без HSM) достатньо для внутрішнього використання без критичних вимог, але він не охоплює нормативні вимоги PCI-DSS, eIDAS QES або HIPAA HSM.
Хто основні виробники HSM у 2026?: Ринок HSM домінується п''ятьма виробниками: Thales (лінійки Luna та payShield, історичний лідер), Utimaco (CryptoServer, постачальник багатьох європейських QTSP), Atos Eviden (Trustway Proteccio, кваліфікація ANSSI Renforcée), Marvell LiquidSecurity (хмарний HSM для AWS та Azure) та Entrust nShield. Гіперскейлери пропонують власні муtuалізовані пропозиції: AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM. Для кваліфікованого підпису eIDAS вирішальний критерій — сертифікація Common Criteria EAL4+ з Protection Profile EN 419 221-5.
Чи можна орендувати HSM у хмарі замість його купівлі?: Так. AWS CloudHSM, Azure Dedicated HSM та Google Cloud HSM орендують виділені HSM, сертифіковані FIPS 140-2 рівень 3 (як правило, від 1 до 3 €/година). Для кваліфікованого підпису eIDAS цих пропозицій самих по собі недостатньо — потрібен кваліфікований QTSP, який управляє власним HSM і зареєстрований в європейському списку довіри. Перевага хмарного HSM — еластичність (без CAPEX, без фізичного обслуговування), ціною залежності від гіперскейлера, часто американського (чутлива тема щодо Cloud Act та європейської цифрової суверенності).
Як перевірити, що постачальник служб підпису дійсно використовує сертифікований HSM?: Постачальник повинен бути включений до європейського Довіреного списку eIDAS (https://eidas.ec.europa.eu/) як QTSP (Qualified Trust Service Provider). Цей запис видається лише після перевірки акредитованою організацією (у Франції LSTI/COFRAC, у Німеччині TÜV), яка перевіряє відповідність HSM стандартам EN 419 221-5 та EN 419 241-2 (Remote QES з eIDAS 2.0). Крім того, попросіть у постачальника номер сертифікації Common Criteria його HSM — серйозний QTSP публікує це у своїй технічній документації.

Для глибшого розуміння

Потрібен кваліфікований підпис з HSM?

Certyneo спирається на HSM, сертифіковані Common Criteria EAL4+, які керуються кваліфікованим QTSP, включеним до європейського Довіреного списку eIDAS. QES за 9,90 €/акт з плану Standard.

Розпочати безкоштовно Переглянути пропозицію QES