Czym jest HSM?
Sprzętowy moduł bezpieczeństwa to dedykowane urządzenie fizyczne, które generuje, przechowuje i zarządza kluczami kryptograficznymi w środowisku odpornym na manipulacje. Klucz prywatny użwany przez TSA do podpisywania znaczników czasu nigdy nie opuszcza HSM — wszystkie operacje kryptograficzne odbywają się wewnątrz modułu. Czyni to wyodrębnienie klucza praktycznie niemożliwym, nawet przy fizycznym dostępie do urządzenia. HSM jest korzeniem zaufania całej infrastruktury kwalifikowanego znakowania czasem.
Wymagania certyfikacyjne
W ramach eIDAS kwalifikowane usługi zaufania muszą używać HSM spełniających określone normy certyfikacyjne. Najczęstsze to Common Criteria EAL 4+ (standard europejski) i FIPS 140-2 Level 3 (standard amerykański). Certyfikacje te potwierdzają, że HSM został zaprojektowany i przetestowany, aby oprzeć się fizycznym manipulacjom, atakom przez kanały boczne i exploitom oprogramowania. Bez tych certyfikacji TSA nie może uzyskać statusu kwalifikowanego dostawcy usług zaufania.
Architektura HSM dla TSA
Typowa TSA wdraża HSM w redundantnych klastrach dla wysokiej dostępności. Każdy HSM zawiera ten sam klucz podpisywania, załadowany przez bezpieczną ceremonię kluczy. Jeśli jeden HSM ulegnie awarii, pozostałe kontynuują podpisywanie znaczników bez przerwy. Load balancery rozdzielają żądania podpisywania pośród węzłów klastra. Architektura ta łatwo obsługuje miliony znaczników dziennie z czasami odpowiedzi rzędu milisekund.
Opcje HSM w chmurze
Wiodący dostawcy chmury oferują teraz usługi HSM w chmurze (AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM), zapewniające sprzęt certyfikowany FIPS 140-2 Level 3 w hostowanych centrach danych. Niektóre QTSP wykorzystują je do redundancji geograficznej przy zachowaniu wymogów kwalifikacji. Jednak nie wszyscy nadzorcy akceptują wdrożenia HSM w chmurze dla kwalifikowanych usług — należy bezwzględnie sprawdzić akceptację przez krajowego nadzorcy przed wdrożeniem.