PKCS#11
Was ist PKCS#11?
PKCS#11Eine standardisierte C-API namens Cryptoki, mit der Anwendungen kryptografische Token wie HSMs oder Smartcards nutzen, ohne herstellerspezifische Treiber einzubinden.
PKCS#11 (Public-Key Cryptography Standard Nr. 11) wurde ursprunglich von RSA Laboratories veroffentlicht und wird heute von OASIS gepflegt. Es definiert mit Cryptoki eine plattformunabhangige C-Schnittstelle fur den Zugriff auf kryptografische Token. Das Token stellt Slots, Sessions und Objekte (Schlussel, Zertifikate, Daten) bereit; Operationen wie C_Sign, C_Encrypt, C_Wrap oder C_DeriveKey laufen im Gerat ab, sodass private Schlussel es nie verlassen. PKCS#11 ist der De-facto-Standard fur die Anbindung von HSMs, Smartcards und TPM-gestutzten Stores an TLS-Server (OpenSSL mit pkcs11-provider), PKI-Software, Code-Signing-Pipelines und KMIP-Clients. PKCS#11 v3.1 erganzt Ed25519, EdDSA und postquantensichere Primitive.
● Beispiele
- 01
OpenSSL nutzt ein YubiHSM 2 uber pkcs11-provider, um einen TLS-Zertifikatsantrag zu signieren.
- 02
Eine Code-Signing-CI ruft C_Sign auf einem Schlussel in AWS CloudHSM auf, ohne ihn zu exportieren.
● Häufige Fragen
Was ist PKCS#11?
Eine standardisierte C-API namens Cryptoki, mit der Anwendungen kryptografische Token wie HSMs oder Smartcards nutzen, ohne herstellerspezifische Treiber einzubinden. Es gehört zur Kategorie Kryptografie der Cybersicherheit.
Was bedeutet PKCS#11?
Eine standardisierte C-API namens Cryptoki, mit der Anwendungen kryptografische Token wie HSMs oder Smartcards nutzen, ohne herstellerspezifische Treiber einzubinden.
Wie funktioniert PKCS#11?
PKCS#11 (Public-Key Cryptography Standard Nr. 11) wurde ursprunglich von RSA Laboratories veroffentlicht und wird heute von OASIS gepflegt. Es definiert mit Cryptoki eine plattformunabhangige C-Schnittstelle fur den Zugriff auf kryptografische Token. Das Token stellt Slots, Sessions und Objekte (Schlussel, Zertifikate, Daten) bereit; Operationen wie C_Sign, C_Encrypt, C_Wrap oder C_DeriveKey laufen im Gerat ab, sodass private Schlussel es nie verlassen. PKCS#11 ist der De-facto-Standard fur die Anbindung von HSMs, Smartcards und TPM-gestutzten Stores an TLS-Server (OpenSSL mit pkcs11-provider), PKI-Software, Code-Signing-Pipelines und KMIP-Clients. PKCS#11 v3.1 erganzt Ed25519, EdDSA und postquantensichere Primitive.
Wie schützt man sich gegen PKCS#11?
Schutzmaßnahmen gegen PKCS#11 kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für PKCS#11?
Übliche alternative Bezeichnungen: Cryptoki, PKCS11.
● Verwandte Begriffe
- cryptography№ 461
Hardware Security Module (HSM)
Manipulationssicheres Hardware-Gerat, das kryptografische Schlussel erzeugt, speichert und nutzt, ohne das Schlusselmaterial je dem Betriebssystem preiszugeben.
- cryptography№ 1178
Trusted Platform Module (TPM)
Standardisierter Sicherheits-Chip, aufgelotet oder als Firmware, der Hardware-verankerte Schlusselablage, Attestation und Measured Boot bereitstellt.
- cryptography№ 1054
Smartcard
Eine kreditkartengrosse Karte mit eingebettetem Sicherheits-Mikrocontroller, die Credentials speichert und kryptografische Operationen ausfuehrt, fuer Kontaktkarten in ISO/IEC 7816 normiert.
- cryptography№ 067
Asymmetrische Verschlüsselung
Verfahren, das mathematisch verbundene Schlüsselpaare nutzt – öffentlicher Schlüssel zum Verschlüsseln, privater zum Entschlüsseln – und so sichere Kommunikation ohne vorab geteiltes Geheimnis ermöglicht.