¿Qué es un HSM?
Un módulo de seguridad hardware es un dispositivo físico dedicado que genera, almacena y gestiona claves criptográficas en un entorno inviolable. La clave privada utilizada por una TSA para firmar sellos de tiempo nunca abandona el HSM — todas las operaciones criptográficas ocurren dentro del módulo. Esto hace la extracción de claves virtualmente imposible, incluso con acceso físico al dispositivo. El HSM es la raíz de confianza de toda la infraestructura de sellado de tiempo cualificado.
Requisitos de certificación
Bajo eIDAS, los servicios de confianza cualificados deben usar HSM que cumplan estándares de certificación específicos. Los más comunes son Common Criteria EAL 4+ (estándar europeo) y FIPS 140-2 Nivel 3 (estándar estadounidense). Estas certificaciones verifican que el HSM ha sido diseñado y probado para resistir manipulaciones físicas, ataques de canal lateral y explotaciones de software. Sin estas certificaciones, una TSA no puede obtener el estatus de prestador de servicios de confianza cualificado.
Arquitectura HSM para TSAs
Una TSA típica despliega HSM en clústeres redundantes para alta disponibilidad. Cada HSM contiene la misma clave de firma, cargada mediante una ceremonia de clave segura. Si un HSM falla, los demás continúan firmando sellos sin interrupción. Los balanceadores de carga distribuyen las solicitudes de firma entre los nodos del clúster. Esta arquitectura soporta fácilmente millones de sellos por día con tiempos de respuesta en milisegundos.
Opciones HSM en nube
Los principales proveedores cloud ofrecen ahora servicios HSM en nube (AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM) con hardware certificado FIPS 140-2 Nivel 3 en centros de datos alojados. Algunos QTSP los utilizan para redundancia geográfica manteniendo los requisitos de cualificación. Sin embargo, no todos los supervisores aceptan despliegues HSM en nube para servicios cualificados — es fundamental verificar la aceptación de su supervisor nacional antes de adoptarlos.