0 opmerking

Wat is een Hardware Security Module (HSM)? Complete gids

Q: What is a hardware security module used for?

An HSM generates, stores and protects cryptographic keys inside tamper-resistant hardware. It is used for PKI and certificate authorities, code and document signing, payment processing (PIN, EMV), database and disk encryption, TLS/SSL offload, cloud key management (BYOK) and blockchain key custody.

Q: What is the difference between an HSM and a TPM?

A TPM (Trusted Platform Module) is a small chip soldered to a single computer's motherboard to protect that device. An HSM is a dedicated, high-performance appliance or PCIe card that protects keys for many applications and servers across an organisation, with far higher throughput, stronger certifications and clustering.

Q: What does FIPS 140-2 Level 3 mean?

FIPS 140-2 is a US standard for cryptographic modules. Level 3 adds physical tamper resistance and identity-based authentication, so that any attempt to physically access the keys triggers their destruction (zeroization). Most enterprise HSMs are certified to Level 3; Common Criteria (EAL4+) is the equivalent European scheme.

Q: What is the difference between a network HSM and a PCIe HSM card?

A network (appliance) HSM is a standalone rack unit shared over the network by many servers. A PCIe HSM card is installed directly inside a single server, offering very low latency for that host. Both protect keys to the same standards; the choice depends on architecture and how many systems need access.

Q: Can you buy a used or refurbished HSM safely?

Yes. An HSM that has been factory-reset (zeroized) holds none of the previous owner's keys, and its certifications (FIPS 140-2, Common Criteria) remain valid for the hardware. A used HSM such as the Bull Atos Trustway Proteccio can cost a fraction of a new Thales Luna or Entrust nShield while delivering the same protection.

Encryptie is slechts zo sterk als de geheimhouding van de sleutels — en een softwarematig opgeslagen sleutel op een server is één inbraak verwijderd van blootstelling. Dat is het probleem dat een Hardware Security Module (HSM) oplost. Een HSM is de root of trust achter PKI, betalingssysteem, codeondertekening en cloudversleuteling, gebruikt door banken, overheden en bedrijven wereldwijd. Deze gids legt uit wat een HSM is, hoe het werkt, de belangrijkste use cases en certificeringen, en hoe de toonaangevende modellen — Thales Luna, Entrust nShield, Utimaco en de Franse Bull Atos Trustway Proteccio — zich verhouden, inclusief wanneer een gebruikte HSM de slimme keuze is.

Wat is een HSM?

Een Hardware Security Module is een speciaal, inbraakbestendig hardwareapparaat dat cryptografische sleutels genereert, opslaat en beheert, en cryptografische bewerkingen (ondertekenen, versleutelen, ontsleutelen) uitvoert binnen een beschermde omgeving. Het basisprincipe is eenvoudig: de privésleutels verlaten de hardware nooit in platte tekst. Applicaties sturen data naar de HSM en ontvangen het resultaat; de sleutels zelf blijven binnenin vergrendeld, afgeschermd van het besturingssysteem, beheerders en malware.

Hoe een HSM werkt: belangrijkste kenmerken

Inbraakbestendigheid: fysieke inbraak activeert onmiddellijke sleutelvernietiging (zeroization).
Veilige sleutelcyclus: sleutels worden gegenereerd door een echte hardwarematige willekeurige getallengenerator en nooit onbeschermd geëxporteerd.
Cryptografische offload: speciale processors versnellen RSA, ECC, AES en hashing, waardoor applicatieservers worden ontlast.
Sterke authenticatie: rolverdeling, M-of-N quorum en smartcard-operators.
Standaardinterfaces: PKCS#11, JCE/JCA, Microsoft CNG/KSP en OpenSSL-integratie.

Use cases van HSM

HSM's vormen de basis van de meeste beveiligingsarchitecturen met hoge zekerheid:

PKI en Certificaatautoriteiten — bescherming van de CA-root en uitgiftesleutels (de meest voorkomende use case).
Code- en documentondertekening — software-uitgevers, firmware, eIDAS-gekwalificeerde handtekeningen.
Betalingen — PIN, EMV en kaartuitgifte volgens PCI-vereisten.
Database- en opslagversleuteling — hoofdsleutels voor TDE en schijfversleuteling.
Cloud key management (BYOK) — behoud van controle over sleutels gebruikt in AWS, Azure of Google Cloud.
Blockchain en digitale activa — beheer van wallet- en validator-sleutels.

Soorten HSM

Twee onderscheidingen zijn belangrijk bij het kiezen:

Algemeen gebruik versus betaal-HSM: algemeen gebruikte units dienen PKI, ondertekening en encryptie; betaal-HSM's voegen bank-specifieke functies toe (PIN, EMV).
Netwerk appliance versus PCIe-kaart: een netwerk HSM is een rack-appliance die gedeeld wordt via het LAN door meerdere servers; een PCIe HSM-kaart zit in één server voor ultra-lage latentie. Cloud HSM's (AWS CloudHSM, Azure Dedicated HSM) bieden dezelfde bescherming als een managed service.

HSM vergelijking: de toonaangevende merken

Vier leveranciers domineren de markt voor algemeen gebruikte HSM's, plus de cloudproviders. Ze zijn functioneel dicht bij elkaar — allemaal gecertificeerd volgens FIPS 140-2 Level 3 en/of Common Criteria — dus de echte onderscheidende factoren zijn ecosysteem, soevereiniteit en prijs.

Merk / Model	Vormfactor	Certificeringen	Positionering
Thales Luna (SafeNet)	Netwerk & PCIe	FIPS 140-2 L3, CC	Marktleider, breedste ecosysteem
Entrust nShield	Netwerk & PCIe	FIPS 140-2 L3, CC	Sterk voor PKI, CodeSafe veilige uitvoering
Utimaco	Netwerk & PCIe	FIPS 140-2 L3, CC	Duitse leverancier, algemeen gebruik & betaling
Bull Atos Trustway Proteccio	Netwerk & PCIe	Common Criteria EAL4+, ANSSI-gekwalificeerd	Franse soevereine HSM — vertrouwd door de EU-overheid
AWS CloudHSM / Azure	Cloudservice	FIPS 140-2 L3	Cloud-native, pay-as-you-go

De Bull Atos Trustway Proteccio valt op als een Europees soevereine HSM, gekwalificeerd door het Franse nationale cyberbeveiligingsagentschap (ANSSI) — een doorslaggevend voordeel voor overheids- en gereguleerde organisaties die niet-EU-afhankelijkheden moeten vermijden. Voor een nadere blik, vergelijk de Trustway Proteccio vs Thales Luna, of zie waarom het een sterke HSM voor PKI en een Entrust nShield alternatief is.

Nieuw versus gebruikte HSM: de kostenkwestie

HSM's zijn duur: een nieuwe Thales Luna of Entrust nShield appliance kost doorgaans vijf cijfers. Toch hebben HSM's een lange levensduur en blijven hun certificeringen geldig voor de hardware zelf. Een gebruikte, fabrieksgeresette HSM biedt daarom dezelfde cryptografische bescherming tegen een fractie van de kosten — ideaal voor PKI-back-ends, test- en stagingomgevingen, disaster-recovery locaties, of gewoon om het budget te beheersen. Een geresette HSM bevat geen sleutels van de vorige eigenaar: zeroization wist ze onherroepelijk. Juist hier wordt een gebruikte Bull Atos Trustway Proteccio een waardevol, goedkoper alternatief voor een nieuwe Luna of nShield.

🔐 Bull Atos Trustway Proteccio PCA4H — gebruikte HSM-appliance, op voorraad bij IT and Office. ANSSI-gekwalificeerd, eIDAS, Common Criteria EAL4+, twee PSU's, getest en klaar — een fractie van de prijs van een nieuwe Thales Luna of Entrust nShield. Beperkte voorraad, wereldwijde verzending vanuit Frankrijk.

Hoe kies je een HSM

Certificatieniveau — FIPS 140-2 Level 3 en/of Common Criteria EAL4+; ANSSI-kwalificatie voor Franse/EU-soevereiniteit.
Prestaties — handtekeningen per seconde (RSA-2048, ECC) voor jouw piekbelasting.
Integratie — PKCS#11, CNG/KSP, JCE-ondersteuning voor jouw stack.
Formaat — netwerkapparaat voor gedeelde toegang, PCIe-kaart voor latentie op één server.
Budget — een gebruikte, gecertificeerde HSM kan de kosten met 70% of meer verlagen zonder in te leveren op bescherming.

FAQ — Hardware Security Modules

Waar wordt een hardware security module voor gebruikt?

Het beschermen van cryptografische sleutels voor PKI, codeondertekening, betalingen, database- en cloudversleuteling, TLS-offload en blockchainbeheer — de sleutels verlaten nooit de manipulatiebestendige hardware.

Wat is het verschil tussen een HSM en een TPM?

Een TPM beschermt één computer; een HSM is een hoogwaardig apparaat of kaart die sleutels beschermt voor veel toepassingen binnen een organisatie, met sterkere certificeringen en doorvoersnelheid.

Wat betekent FIPS 140-2 Level 3?

Een certificeringsniveau dat fysieke manipulatiebestendigheid en identiteit-gebaseerde authenticatie toevoegt: elke fysieke aanval zerot de sleutels. Common Criteria EAL4+ is het Europese equivalent.

Netwerk HSM of PCIe-kaart?

Een netwerkapparaat wordt gedeeld door veel servers via het LAN; een PCIe-kaart zit in één server voor ultra-lage latentie. Beide bieden dezelfde sleutelbescherming.

Kun je veilig een gebruikte HSM kopen?

Ja — een fabrieksreset (gezeroëerde) HSM bevat geen van de vorige sleutels en behoudt zijn certificeringen. Een gebruikte Bull Atos Trustway Proteccio is een goedkope alternatief voor een nieuwe Luna of nShield.

Verder lezen: het NIST Cryptographic Module Validation Program (FIPS 140-2/3 certificaten).

🛒 Bekijk de Bull Atos Trustway Proteccio PCA4H op voorraad bij IT and Office
Gebruikt, getest & gereset • ANSSI • eIDAS • EAL4+ • Wereldwijde verzending vanuit Frankrijk • Een fractie van de prijs van nieuwe HSM's

Tags : Bull atos trustway proteccio, Entrust nshield, Fips 140-2, Hardware security module, Hsm, Hsm appliance, Hsm comparison, Hsm pki, Thales luna hsm, Used hsm

Vorige artikel Volgend artikel

Wachtwoordherstel

Wat is een Hardware Security Module (HSM)? Complete Gids (2026)