Hsm не про подписание документов

Когда вы инициализируете HSM, он создаёт свои собственные ключи, которые хранит в себе и не отдаёт наружу. Не помню сколько их точно, 1 или 2. LMK они, вроде называются (уже подзабыл терминологию). В любом случае, он эти ключи и их варианты использует для подписи других ключей, которые генерирует по просьбе приложений и людей.

Ок

То есть, схема его работы при генерации ключа:
сгенери ключ,
зашифруй его опредеённой вариацией LMK,
отдай наружу в зашифрованном виде

не уверен, что HSM не может хранить приватные ключи

Когда этот внешний ключ надо использовать, он отдаётся HSM'у, тот его расшифрует и потом уже использует

ну, наверное это от модели HSM зависит. Наш не умеет такое. Сгенерил - отдал и забыл

Да, немного наврал про LMK: чтобы не потерять всю ключевую инфраструктуру (пользовательские ключи, зашифрованные LMK'шками) есть возможность инициализировать HSM "прежними" LMK. А для поддержкания такого режима используется функциональность, когда реальный LMK бьётся на 2 или 3 части и либо (а) пишется на специлаьную смарт-карту, либо (б) печататеся на "чек". В обоих случаях - на жётский носитель. Носители разбирают офицеры безопасности и прячут до ХУДЬШИХ времён.

прям на вскидку: https://stackoverflow.com/questions/50831804/how-to-hsm-device-store-and-protect-private-key

Вообщетам намного больше всякого веселья с точки зрения офицеров безопасности, режимов работы и т.д. Но это всё инфраструктура...

There are some which store the keys in encrypted files (Thales springs to mind), while others store them internally (Gemalto springs to mind here).

Облачные подписи существуют. Ключи для облачных подписей хранятся в облачной инфраструктуре. Поскольку я никогда не делал такие решения сам, предполагаю, что закрытые ключи (private) в таких решения хранятся в HSM, потому что есть HSM которые умеют хранить закрытые ключи.

Если это не так, думаю, что все будут рады узнать как.

HSM - весьма специфические штуки, ещё и под разные задачи. Но вообще не вижу проблем с хранением ключей - вполне это можно сделать или в собственном хранилище или в каком-нибудь hashicorp vault.

Ты прав, сам Криптопро пишет:

Пользовательские ключи хранятся в HSM в зашифрованном виде с использованием специальных мастер-ключей защиты. Эти мастер-ключи, в свою очередь, зашифрованы с использованием ключа активации HSM, который защищен с использованием схемы разделения секрета «3 из 5» с хранением компонент на смарт-картах администраторов безопасности.

Не трудно было догадаться, если честно)

Там много ключей обычно не помещается. Не миллионы.

Технически, да