HSM vs TPM: sự khác biệt là gì và nên chọn cái nào?

Giới thiệu: hai mô-đun, hai triết lý bảo mật

Trong lĩnh vực mật mã ứng dụng và bảo vệ khóa số, hai công nghệ thường xuyên xuất hiện trong các cuộc thảo luận của DSI và RSSI: HSM (Hardware Security Module) và TPM (Trusted Platform Module). Hai thiết bị phần cứng này có chung một mục tiêu — bảo vệ các hoạt động mật mã nhạy cảm — nhưng kiến trúc, các trường hợp sử dụng và mức độ chứng nhận của chúng khác biệt cơ bản. Nhầm lẫn giữa hai cái có thể dẫn đến lựa chọn cơ sở hạ tầng không phù hợp, thậm chí các lỗ hổng tuân thủ quy định. Bài viết này cung cấp cho bạn các khóa để hiểu rõ sự khác biệt HSM vs TPM, xác định khi nào sử dụng cái này hay cái kia, và đưa ra quyết định tốt nhất cho tổ chức của bạn vào năm 2026.

---

Hardware Security Module (HSM) là gì?

Hardware Security Module là một thiết bị phần cứng chuyên dụng, được thiết kế đặc biệt để tạo, lưu trữ và quản lý các khóa mật mã trong một môi trường được bảo vệ về mặt vật lý và logic. Đó là một thành phần độc lập — thường ở dạng thẻ PCIe, appliance mạng hoặc dịch vụ cloud (HSM as a Service) — có chức năng chính là thực hiện các hoạt động mật mã hiệu suất cao mà không bao giờ để lộ các khóa dạng văn bản rõ bên ngoài mô-đun.

Đặc điểm kỹ thuật của HSM

Các HSM được chứng nhận theo các tiêu chuẩn quốc tế nghiêm ngặt, đặc biệt là FIPS 140-2 / FIPS 140-3 (các mức 2, 3 hoặc 4) được công bố bởi NIST Mỹ, và Common Criteria EAL4+ theo tiêu chuẩn ISO/IEC 15408. Những chứng nhận này liên quan đến các cơ chế chống giả mạo vật lý (tamper-resistance), bộ phát hiện xâm nhập, và tự động hủy khóa trong trường hợp có nỗ lực xâm phạm.

Một HSM điển hình cung cấp:

• Khả năng xử lý cao: lên tới hàng ngàn hoạt động RSA hoặc ECDSA mỗi giây
• Đa người dùng: quản lý hàng trăm phân vùng mật mã độc lập
• Giao diện tiêu chuẩn: PKCS#11, Microsoft CNG, JCA/JCE, OpenSSL engine
• Nhật ký kiểm toán hoàn chỉnh: ghi lại không thể sửa đổi từng hoạt động

Các trường hợp sử dụng HSM điển hình

HSM là lõi của ký hiệu điện tử được cấp phép theo quy định eIDAS, nơi khóa riêng của người ký phải được tạo và lưu trữ trong thiết bị tạo chữ ký được cấp phép (QSCD). Chúng cũng trang bị cho các cơ quan cấp chứng chỉ (CA/PKI), hệ thống thanh toán (HSM giao thức PCI-DSS), cơ sở hạ tầng mã hóa cơ sở dữ liệu, và môi trường ký mã.

Ký hiệu điện tử được cấp phép trong doanh nghiệp hầu như luôn dựa vào HSM được chứng nhận như QSCD để đảm bảo giá trị pháp lý tối đa của các chữ ký.

---

Trusted Platform Module (TPM) là gì?

Trusted Platform Module là một chip bảo mật được tích hợp trực tiếp trên bo mạch chủ của máy tính, máy chủ hoặc thiết bị kết nối. Được chuẩn hóa bởi Trusted Computing Group (TCG), có thông số kỹ thuật TPM 2.0 cũng được chuẩn hóa theo ISO/IEC 11889:2015, TPM được thiết kế để bảo vệ nền tảng chính nó hơn là phục vụ như một dịch vụ mật mã tập trung được chia sẻ.

Kiến trúc và hoạt động của TPM

Không giống như HSM, TPM là một thành phần sử dụng một lần, được liên kết với một phần cứng cụ thể. Nó không thể được chuyển hoặc chia sẻ giữa nhiều máy. Các chức năng chính của nó bao gồm:

• Đo lường tính toàn vẹn của quá trình khởi động (Secure Boot, Measured Boot) thông qua Platform Configuration Registers (PCR)
• Lưu trữ khóa được liên kết với nền tảng: các khóa được tạo bởi TPM chỉ có thể được sử dụng trên máy tạo ra chúng
• Tạo số ngẫu nhiên mật mã (RNG)
• Chứng thực từ xa: chứng minh cho máy chủ từ xa rằng nền tảng ở trạng thái tin cậy được biết
• Mã hóa khối lượng: BitLocker trên Windows, dm-crypt với TPM trên Linux dựa trực tiếp trên TPM

Giới hạn của TPM đối với các ứng dụng doanh nghiệp nâng cao

TPM 2.0 được chứng nhận FIPS 140-2 mức 1 ở tốt nhất, thấp hơn đáng kể so với các chứng nhận FIPS 140-3 mức 3 của các HSM chuyên nghiệp. Khả năng xử lý mật mã của nó bị hạn chế (chỉ vài chục hoạt động mỗi giây), và nó không hỗ trợ các giao diện PKCS#11 hoặc CNG một cách đầy đủ như một HSM chuyên dụng. Đối với ký hiệu điện tử nâng cao hoặc được cấp phép, TPM riêng lẻ thường không đủ theo yêu cầu eIDAS phụ lục II về QSCD.

---

Sự khác biệt cơ bản HSM vs TPM: bảng so sánh

Hiểu rõ sự khác biệt HSM vs TPM Trusted Platform Module đi qua so sánh có cấu trúc của các tiêu chí quyết định cho doanh nghiệp.

Mức độ chứng nhận và đảm bảo bảo mật

| Tiêu chí | HSM | TPM | |---|---|---| | Chứng nhận FIPS | 140-3 mức 2 đến 4 | 140-2 mức 1 | | Tiêu chí chung | EAL4+ đến EAL7 | EAL4 | | Yêu cầu eIDAS QSCD | Có (ví dụ: Thales Luna, Utimaco) | Không | | Chống giả mạo vật lý | Nâng cao (tự động hủy) | Cơ bản |

Khả năng, khả năng mở rộng và tích hợp

HSM là các thiết bị đa người dùng và đa ứng dụng: một appliance mạng duy nhất có thể phục vụ đồng thời hàng trăm khách hàng, ứng dụng và dịch vụ thông qua PKCS#11 hoặc REST API. Chúng tích hợp trong các kiến trúc tính sẵn sàng cao (clusters hoạt động-hoạt động) và hỗ trợ các thông lượng mật mã công nghiệp.

TPM, ngược lại, là một máy và một người dùng theo thiết kế. Nó xuất sắc trong bảo mật máy trạm, bảo vệ thông tin xác thực Windows Hello for Business, và tính toàn vẹn firmware. Đối với các hoạt động ký hiệu điện tử trong các quy trình tài liệu, một TPM không thể đóng vai trò của một dịch vụ mật mã được chia sẻ.

Chi phí và triển khai

Một HSM mạng cấp doanh nghiệp (Thales Luna Network HSM, Utimaco SecurityServer, AWS CloudHSM) đại diện cho một khoản đầu tư từ 15.000 € đến 80.000 € cho phần cứng tại chỗ, hoặc từ 1,50 € đến 3,00 € mỗi giờ ở chế độ cloud được quản lý theo các nhà cung cấp. TPM, mặt khác, được tích hợp mà không có chi phí bổ sung trong gần như toàn bộ PC chuyên nghiệp, máy chủ và hệ thống nhúng kể từ năm 2014 (bắt buộc cho Windows 11 kể từ năm 2021).

---

Khi nào sử dụng HSM, khi nào sử dụng TPM trong doanh nghiệp?

Câu trả lời cho câu hỏi này phụ thuộc vào bối cảnh hoạt động của bạn, các yêu cầu quy định của bạn và kiến trúc của hệ thống thông tin của bạn.

Chọn HSM cho:

• Triển khai PKI nội bộ: các khóa gốc của cơ quan cấp chứng chỉ của bạn phải nằm trong HSM được chứng nhận để có được sự tin tưởng của trình duyệt (Yêu cầu cơ bản CA/Browser Forum)
• Phát hành ký hiệu điện tử được cấp phép: tuân thủ phụ lục II của quy định eIDAS n°910/2014, QSCD phải được chứng nhận theo các tiêu chuẩn tương đương với EAL4+ tối thiểu; so sánh các giải pháp ký hiệu điện tử chi tiết những yêu cầu này
• Bảo mật các giao dịch tài chính với khối lượng cao: các tiêu chuẩn PCI-DSS v4.0 (phần 3.6) yêu cầu bảo vệ các khóa mã hóa dữ liệu thẻ trong HSM
• Mã hóa cơ sở dữ liệu hoặc cloud: AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM cho phép bạn giữ quyền kiểm soát các khóa (BYOK / HYOK)
• Ký mã và tính toàn vẹn của bản dựng CI/CD: ký các tạo tác phần mềm cho chuỗi cung ứng được bảo mật cần HSM để ngăn chặn mất khóa

Chọn TPM cho:

• Bảo mật quá trình khởi động của máy trạm và máy chủ: Secure Boot + Measured Boot + chứng thực từ xa thông qua TPM 2.0 tạo nên cơ sở của Zero Trust trên endpoint
• Mã hóa đĩa toàn bộ: BitLocker with TPM bảo vệ dữ liệu lúc yên tĩnh mà không phụ thuộc vào dịch vụ bên ngoài
• Xác thực phần cứng của máy trạm: Windows Hello for Business sử dụng TPM để lưu trữ các khóa riêng xác thực mà không có khả năng trích xuất
• Tuân thủ NIS2 về bảo mật endpoint: chỉ thị NIS2 (UE 2022/2555), được chuyển sang pháp luật Pháp bằng luật ngày 13 tháng 6 năm 2024, yêu cầu các biện pháp kỹ thuật tương xứng cho bảo mật hệ thống thông tin; TPM đóng góp trực tiếp vào bảo vệ tài sản phần cứng
• Các dự án IoT công nghiệp: TPM nhúng trong các bộ điều khiển tự động và hệ thống SCADA cho phép chứng thực từ xa mà không cần cơ sở hạ tầng HSM chuyên dụng

Các kiến trúc lai HSM + TPM

Trong các tổ chức lớn, HSM và TPM không đối lập: chúng bổ sung cho nhau. Một máy chủ được trang bị TPM 2.0 có thể chứng thực tính toàn vẹn của nó cho một dịch vụ quản lý tập trung, trong khi các hoạt động mật mã kinh doanh (ký, mã hóa dữ liệu ứng dụng) được ủy thác cho một cluster HSM mạng. Kiến trúc này được khuyến nghị bởi ANSSI trong hướng dẫn về quản lý rủi ro liên quan đến các nhà cung cấp dịch vụ tin cậy (PSCE). Tham khảo từ vựng ký hiệu điện tử có thể giúp các nhóm kỹ thuật hài hòa hóa thuật ngữ khi xác định kiến trúc này.

Khung pháp lý và quy chuẩn áp dụng cho HSM và TPM

Lựa chọn giữa HSM và TPM có liên quan trực tiếp đến tuân thủ của tổ chức bạn đối với nhiều khung quy định châu Âu và quốc tế.

Quy định eIDAS n°910/2014 và eIDAS 2.0 (quy định UE 2024/1183)

Điều 29 của quy định eIDAS quy định rằng ký hiệu điện tử được cấp phép phải được tạo bằng Qualified Signature Creation Device (QSCD), được xác định tại phụ lục II. Những thiết bị này phải đảm bảo tính bí mật của khóa riêng, tính duy nhất và tính bất khả xâm phạm của nó. Danh sách các QSCD được công nhận được công bố bởi các cơ quan công nhân quốc gia (ở Pháp: ANSSI). Các HSM được chứng nhận FIPS 140-3 mức 3 hoặc Common Criteria EAL4+ được liệt kê trên những danh sách này; TPM không nằm trong đó. Nhà cung cấp ký hiệu như Certyneo dựa vào các HSM được cấp phép để đảm bảo giá trị sâu sắc tối đa của các chữ ký phát hành.

Bộ Luật Dân sự Pháp, các điều 1366 và 1367

Điều 1366 công nhận giá trị pháp lý của tài liệu điện tử "với điều kiện người mà từ đó nó phát sinh có thể được xác định đúng cách và nó được thiết lập và lưu trữ trong các điều kiện của tính chất để đảm bảo tính toàn vẹn của nó". Điều 1367 làm rõ các điều kiện của ký hiệu điện tử đáng tin cậy, gián tiếp tham chiếu đến yêu cầu eIDAS cho các ký hiệu được cấp phép.

RGPD n°2016/679, các điều 25 và 32

Nguyên tắc privacy by design (điều 25) và yêu cầu các biện pháp kỹ thuật thích hợp (điều 32) quy định bảo vệ các khóa mật mã được sử dụng để mã hóa dữ liệu cá nhân. Sử dụng HSM được chứng nhận tạo thành một biện pháp trạng thái của nghệ thuật (état de l'art theo cách hiểu của xem xét 83 của RGPD) để chứng minh sự tuân thủ trong một kiểm tra của CNIL.

Chỉ thị NIS2 (UE 2022/2555), được chuyển giao ở Pháp

Chỉ thị NIS2, áp dụng cho các thực thể thiết yếu và quan trọng kể từ tháng mười năm 2024, quy định tại điều 21 các biện pháp quản lý rủi ro bao gồm bảo mật chuỗi cung ứng phần mềm và mã hóa. HSM phản ánh trực tiếp các yêu cầu này cho các hoạt động quan trọng, trong khi TPM góp phần bảo vệ các endpoint.

Tiêu chuẩn ETSI

Tiêu chuẩn ETSI EN 319 401 (yêu cầu chung cho các nhà cung cấp dịch vụ tin cậy) và ETSI EN 319 411-1/2 (yêu cầu cho các CA phát hành chứng chỉ được cấp phép) quy định lưu trữ các khóa CA trong các HSM được chứng nhận. Tiêu chuẩn ETSI EN 319 132 (XAdES) và ETSI EN 319 122 (CAdES) xác định các định dạng chữ ký giả định việc sử dụng các mô-đun được bảo mật được chứng nhận.

Khuyến nghị ANSSI

ANSSI công bố khung tham chiếu RGS (Référentiel Général de Sécurité) và các hướng dẫn của nó về HSM, khuyến nghị sử dụng các mô-đun được chứng nhận cho bất kỳ cơ sở hạ tầng PKI nhạy cảm nào trong các tổ chức công cộng và OIV/OSE. Không tuân thủ những khuyến nghị này có thể tạo thành một sai phạm đối với các yêu cầu NIS2 cho các thực thể được đề cập.

Các kịch bản sử dụng: HSM hoặc TPM theo bối cảnh

Kịch bản 1: một công ty quản lý tài sản tài chính với PKI nội bộ

Một công ty quản lý quản lý hàng tỷ euro tài sản có nhu cầu ký điện tử các báo cáo quy định (AIFMD, MiFID II) và các hợp đồng đầu tư với giá trị pháp lý được cấp phép. Cô triển khai PKI nội bộ có các khóa gốc (Root CA) và trung gian (Issuing CA) được bảo vệ trong hai HSM mạng được cấp phép trong cụm tính sẵn sàng cao, được chứng nhận FIPS 140-3 mức 3. Các chứng chỉ được cấp phép được phát hành trên các HSM đối tác tuân thủ QSCD eIDAS. Kết quả: 100% các chữ ký có giá trị được cấp phép, các kiểm toán quy định AMF xác nhận sự tuân thủ, và thời gian ký các tài liệu đầu tư giảm từ 4 ngày xuống dưới 2 giờ. Chi phí cơ sở hạ tầng HSM được hoàn trả trong vòng chưa đến 18 tháng so với chi phí không tuân thủ tiềm năng.

Kịch bản 2: một doanh nghiệp nhỏ và vừa công nghiệp 150 nhân viên bảo mật bộ máy trạm của nó

Một doanh nghiệp nhỏ và vừa của ngành sản xuất hàng không vũ trụ, nhà cung cấp hạng 2 chịu sự yêu cầu CMMC (Cybersecurity Maturity Model Certification) và các khuyến nghị NIS2, phải bảo mật 150 máy trạm Windows chống lại trộm cắp dữ liệu kỹ thuật nhạy cảm. RSSI triển khai BitLocker với TPM 2.0 trên toàn bộ bộ máy, kết hợp với Windows Hello for Business để xác thực không mật khẩu. Chứng thực từ xa thông qua TPM được tích hợp trong giải pháp MDM (Microsoft Intune). Không cần HSM trong bối cảnh này: các TPM tích hợp trong máy Dell và HP là đủ. Kết quả: nguy hiểm mất dữ liệu do mất vật lý của máy tính xách tay được giảm xuống gần như bằng không, và điểm trưởng thành an ninh mạng của doanh nghiệp nhỏ và vừa tăng 40% theo tự đánh giá CMMC. Chi phí bổ sung: 0 € (TPM đã được tích hợp vào các máy).

Kịch bản 3: một nhà khai thác nền tảng SaaS ký hiệu điện tử đa khách hàng

Một nhà khai thác SaaS cung cấp các dịch vụ ký hiệu điện tử cho vài trăm công ty khách hàng phải đảm bảo cách ly mật mã giữa các khách hàng và tính hợp lệ eIDAS của dịch vụ. Nó triển khai một kiến trúc dựa trên HSM ở chế độ cloud chuyên dụng (AWS CloudHSM hoặc Thales DPoD), với phân vùng HSM cho mỗi người thuê lớn và một nhóm được chia sẻ cho các khách hàng tiêu chuẩn. Mỗi khách hàng tận hưởng các khóa cô lập trong phân vùng của nó, có thể kiểm toán độc lập. TPM trang bị cho các máy chủ ứng dụng cho chứng thực của tính toàn vẹn của nền tảng trong các kiểm toán chứng nhận eIDAS (QTSP). Kết quả: nhà khai thác nhận được tính hợp lệ QTSP từ ANSSI, cho phép phát hành các ký hiệu được cấp phép. Mô hình HSM as a Service giảm capex cơ sở hạ tầng 60% so với giải pháp tại chỗ, theo các điểm chuẩn ngành so sánh được.

Kết luận

Sự khác biệt giữa HSM và TPM là cơ bản: HSM là một dịch vụ mật mã được chia sẻ, hiệu suất cao và đa ứng dụng, không thể thiếu cho PKI, ký hiệu được cấp phép eIDAS và tuân thủ PCI-DSS hoặc NIS2 quy mô lớn. TPM là một thành phần tin cậy được liên kết với một nền tảng phần cứng cụ thể, lý tưởng để bảo mật các endpoint, khởi động an toàn và xác thực cục bộ. Trong phần lớn các kiến trúc doanh nghiệp trưởng thành vào năm 2026, cả hai tồn tại với các vai trò bổ sung và không có thể thay thế được.

Nếu tổ chức của bạn tìm cách triển khai một giải pháp ký hiệu điện tử được cấp phép dựa trên một cơ sở hạ tầng HSM được chứng nhận, mà không quản lý độ phức tạp kỹ thuật nội bộ, Certyneo cung cấp cho bạn một nền tảng SaaS khóa tay, tuân thủ eIDAS và RGPD. Khám phá giá cả Certyneo hoặc liên hệ các chuyên gia của chúng tôi cho một kiểm toán các nhu cầu mật mã của bạn.