问TPM和HSM有什么区别？

EN

可信平台模块可信平台模块(TPM)是一种在计算机主板上存储用于加密的加密密钥的硬件芯片。许多膝上型计算机都包含TPM，但如果系统不包括TPM，则添加TPM是不可行的。一旦启用，受信任的平台模块将提供完整的磁盘加密功能。它成为系统为引导过程提供完整性和身份验证的“信任根”。它将硬盘锁定/密封，直到系统完成系统验证或身份验证检查为止。TPM包含一个唯一的RSA密钥，它用于非对称加密。此外，它还可以生成、存储和保护加密和解密过程中使用的其他密钥。硬件安全模块硬件安全模块(HSM)是一种可以添加到系统中以管理、生成和安全存储加密密钥的安全设备。高性能HSM是使用TCP/IP连接到网络的外部设备。较小的HSM是您在服务器中安装的扩展卡，或者是插入计算机端口的设备。两者之间值得注意的区别之一是HSM是可移动的或外部的设备。相比之下，TPM是嵌入到主板中的芯片。您可以轻松地将HSM添加到系统或网络中，但是如果系统没有附带TPM，那么以后添加HSM是不可行的。两者都通过存储和使用RSA密钥来提供安全加密功能。

来源：https://blogs.getcertifiedgetahead.com/tpm-hsm-hardware-encryption-devices/

如果你想简短地说：

• TPM是一种特殊的设备，用于保护自己的密钥(身份来源)。
• HSM是保护外键安全的通用设备(验证身份)

要记住，事情更复杂，所以这是过于简单化了。以下内容也并非详尽无遗。

TPM和HSM有着完全不同的目的。

通常使用TPM (由BIOS支持)来验证操作系统的所有部分都是真实的。它可能是某种防盗方法的一部分，如果错误的人试图启动它，它会阻止计算机启动或解密。虽然TPM保护存储在TPM中的信息(比如它的身份)，但是这些信息通常只是很少使用，所以TPM需要低到无功耗，并且有一个很小的设计模式。TPM并不意味着在TPM上下文之外保护有价值的信息，TPM是“平台”(AKA主板)本身。

相比之下，HSM的目的是保护(与TPM存储的内容相比)大量(通常是外国的)密码材料(在“平台”之外)免受盗窃罪的侵害，而盗窃罪也在大量和关键的使用中。所以它的主要内容是保护这些信息，而不仅仅是保护自己。

HSM和TPM具有一些共同的特性。您也可以将(少量)密钥存储在TPM中以保护这些密钥。但是，虽然TPM是一种小型的廉价设备，但HSM通常是一种相当有能力且昂贵的计算设备。

或者把它应用到计算术语中：

使用TPM，您只能模拟HSM。这种模拟不能保证模拟HSM中的数据免受黑客攻击。

使用HSM，您可以模拟TPM (只要HSM能够在其内部运行所有所需的加密例程)。因此，一个好的HSM可以用来在现实世界中用TPM的相同安全属性创建一个TPM软件替代。这可以用来模拟虚拟机的TPM，这样黑客就不能复制这些TPM(除了主机本身之外，前提是HSM也没有被黑客攻击)。

TPM芯片通常被嵌入到主板上，但并不总是如此。HSM几乎总是外部的。

我的主板实际上支持通过头添加一个TPM芯片。

TPM可以复制某些HSM功能，但HSM不能替代TPM。TPM允许启动的信任根。