【PCのセキュリティ】HSMとTPMの違いとは？

HSM・TPMという言葉を聞いたことがない門外漢です。 ただそのキーワードでGoogleしてみましたというだけです。 最上位にヒットしたのがこちら。 -------- TPMの暗号処理速度は、汎用CPUよりも遅い。 まずSmartCardと同じような半導体テクノロジで製作されている。 次に、LPCバスやI2Cバスなどの非常に遅いバスで接続されている。TPMはIT機器で容易に利用可能な安価な耐タンパーデバイスであり、物理的保護による秘密の安全な保持が目的である。TPMは一般のHSM（Hardware Security Module）と呼ばれる暗号モジュールに比べて桁違いに安価であるが、HSMのように高機能ではない。 TPM単体で使えるの？ NO。 使えなくは無いが、TPMはHSMとしてみると、リソースがものすごくしょぼい。実際に保存できるRSA鍵は2個だけである。TSSと呼ばれるソフトウェアスタックと一緒に使うことで、暗号デバイスとしてはようやく一人前になる。 http://d.hatena.ne.jp/munetoh/20091224 -------- 10番目にヒットしたのがこちら。 -------- TPM は最近のコンピューターのマザーボードに搭載されていることが多い。機能としては、暗号鍵の安全な生成と、ハードウェアの乱数生成器を提供する。ただし TPM にアクセスするソフトフェアは、限られたプラットフォームでのみ提供されている（ほとんどが Microsoft Windows）ので、UNIX ベースの DNSサーバーでの利用可能性は限られる。また構成にもよるが、TPM に保持された鍵は取り出しできない場合があり、そうするとバックアップや別のサーバーへの移行が困難な場合がある。 HSM は、ほとんどの場合、プラグインするボード型か、単体のネットワーク接続機器として提供されている。通常高いセキュリティを持つ鍵ストレージと、ハードウェアの乱数生成器、そして IC カードや TPM と比べて極めて高い署名スループット性能を提供する。HSM 専用機が適するのは、複数の署名鍵を安全に管理しなければならず、使用頻度も高い場合だ。HSM の主な注意点は、コストが高いことと、導入や運用に必要となる工数である。鍵のバックアップは、使用する HSM のバックアップ手順に準じ、暗号化されたファイルや ICカードに作成する。 http://dnssec.jp/wp-content/uploads/2011/04/20110317-dnssec-techwg-keymgmt.pdf -------- Google画像検索してみても， 「Trusted-Platform-Module」でICパッケージの画像がヒットするのに対して， 「Hardware-Security-Module」では単体機器や拡張ボードの画像がヒットします。 ということで。 TPMはクライアントPC向けの安価なセキュリティチップなのだろう。 TPMの入ったハードウェアでHSMを製造することもできるだろうが，TPM内蔵を前提にHSMと呼んでいるのではない。 現状のHSMは，TPM以上に高機能なハード・ソフトの構成によって実現されている。 そんな風にいえるのじゃないかと思いました。