O que é um HSM?
Um módulo de segurança hardware é um dispositivo físico dedicado que gera, armazena e gere chaves criptográficas num ambiente inviólavel. A chave privada usada por uma TSA para assinar carimbos de tempo nunca sai do HSM — todas as operações criptográficas ocorrem dentro do módulo. Isto torna a extração de chaves virtualmente impossível, mesmo com acesso físico ao dispositivo. O HSM é a raiz de confiança de toda a infraestrutura de carimbação de tempo qualificada.
Requisitos de certificação
Ao abrigo do eIDAS, os serviços de confiança qualificados devem usar HSM que cumpram normas de certificação específicas. As mais comuns são Common Criteria EAL 4+ (norma europeia) e FIPS 140-2 Nível 3 (norma norte-americana). Estas certificações verificam que o HSM foi concebido e testado para resistir a adulterações físicas, ataques de canal lateral e explorações de software. Sem estas certificações, uma TSA não pode obter o estatuto de prestador de serviços de confiança qualificado.
Arquitetura HSM para TSAs
Uma TSA típica implementa HSM em clusters redundantes para alta disponibilidade. Cada HSM contém a mesma chave de assinatura, carregada através de uma cerimónia de chave segura. Se um HSM falhar, os outros continuam a assinar carimbos sem interrupção. Os balanceadores de carga distribuem os pedidos de assinatura pelos nós do cluster. Esta arquitetura suporta facilmente milhões de carimbos por dia com tempos de resposta em milissegundos.
Opções HSM cloud
Os principais fornecedores cloud oferecem agora serviços HSM cloud (AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM) com hardware certificado FIPS 140-2 Nível 3 em centros de dados alojados. Alguns QTSP utilizam-nos para redundância geográfica mantendo os requisitos de qualificação. No entanto, nem todos os supervisores aceitam implementações HSM cloud para serviços qualificados — é fundamental verificar a aceitação pelo supervisor nacional antes da adoção.