Što je HSM?
Hardverski sigurnosni modul je posvećeni fizikalni uređaj koji generira, pohranjuje i upravlja kriptografskim ključevima u okruženju otpornom na neovlaštene izmjene. Privatni ključ koji TSA koristi za potpisivanje vremenskih žigova nikada ne napušta HSM — sve kriptografske operacije odvijaju se unutar modula. To čini ekstrakciju ključa praktički nemogućom, čak i uz fizički pristup uređaju. HSM je korijen povjerenja cjelokupne infrastrukture kvalificiranog vremenskog žigosanja.
Zahtjevi certificiranja
Prema eIDAS-u, kvalificirane usluge povjerenja moraju koristiti HSM-ove koji zadovoljavaju određene standarde certificiranja. Najuobičajeniji su Common Criteria EAL 4+ (europski standard) i FIPS 140-2 Level 3 (američki standard). Ove certifikacije potvrđuju da je HSM projektiran i testiran kako bi se odupro fizičkim neovlaštenim izmjenama, napadima pobočnim kanalima i softverskim eksploitima. Bez tih certifikacija, TSA ne može dobiti status kvalificiranog davatelja usluga povjerenja.
HSM arhitektura za TSA-ove
Tipična TSA distribuira HSM-ove u redundantnim klasterima za visoku dostupnost. Svaki HSM sadrži isti ključ za potpisivanje, učitan putem sigurne ceremonije ključeva. Ako jedan HSM zakaže, ostali nastavljaju potpisivati vremenske žigove bez prekida. Balanseri opterećenja raspoređuju zahtjeve za potpisivanjem među čvorovima klastera. Ova arhitektura lako podržava milijune žigova dnevno s vremenima odgovora u milisekundama.
Opcije HSM u oblaku
Veliki cloud pružatelji sada nude usluge cloud HSM-a (AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM) koji pružaju FIPS 140-2 Level 3 certificirani hardver u hosrtiranim podatkovnim centrima. Neki QTSP-ovi ih koriste za geografsku redundanciju uz održavanje zahtjeva za kvalifikacijom. Međutim, ne prihvaćaju sva nadzorna tijela cloud HSM implementacije za kvalificirane usluge — nužno je provjeriti prihvatljivost kod nacionalnog nadzornog tijela prije usvajanja.