PKCS#12
Was ist PKCS#12?
PKCS#12Passwortgeschutztes Dateiformat (.pfx / .p12), das einen privaten Schlussel zusammen mit seiner Zertifikatskette bundelt; standardisiert in RFC 7292.
PKCS#12 wurde ursprunglich von RSA Laboratories veroffentlicht und von der IETF in RFC 7292 uberarbeitet. Es definiert einen ASN.1/DER-Container zum Speichern und Transportieren eines privaten Schlussels samt zugehoriger X.509-Zertifikatskette. Der Container, meist als .pfx oder .p12 sichtbar, enthalt einen oder mehrere SafeBags (Schlussel-, Zertifikats-, CRL-Bags), die mit einem aus dem Passwort abgeleiteten Schlussel verschlusselt sind. Historisch nutzte PKCS#12 schwache PKCS#5-v1-PBE-Konstruktionen; moderne Implementierungen sollten gemass NIST und OpenSSL 3 PBES2 mit AES-CBC oder AES-GCM und einer PRF wie HMAC-SHA-256 verwenden. PKCS#12 ist die universelle Methode, um Serverzertifikate, S/MIME-Anmeldedaten und TLS-Client-Zertifikate in Windows, macOS, Java-Keystores oder HSMs zu importieren.
● Beispiele
- 01
Export eines Apple-Developer-ID-Zertifikats samt privatem Schlussel aus Schlusselbundverwaltung als .p12.
- 02
Import eines TLS-Serverzertifikats in Windows IIS per Doppelklick auf eine .pfx-Datei.
● Häufige Fragen
Was ist PKCS#12?
Passwortgeschutztes Dateiformat (.pfx / .p12), das einen privaten Schlussel zusammen mit seiner Zertifikatskette bundelt; standardisiert in RFC 7292. Es gehört zur Kategorie Kryptografie der Cybersicherheit.
Was bedeutet PKCS#12?
Passwortgeschutztes Dateiformat (.pfx / .p12), das einen privaten Schlussel zusammen mit seiner Zertifikatskette bundelt; standardisiert in RFC 7292.
Wie funktioniert PKCS#12?
PKCS#12 wurde ursprunglich von RSA Laboratories veroffentlicht und von der IETF in RFC 7292 uberarbeitet. Es definiert einen ASN.1/DER-Container zum Speichern und Transportieren eines privaten Schlussels samt zugehoriger X.509-Zertifikatskette. Der Container, meist als .pfx oder .p12 sichtbar, enthalt einen oder mehrere SafeBags (Schlussel-, Zertifikats-, CRL-Bags), die mit einem aus dem Passwort abgeleiteten Schlussel verschlusselt sind. Historisch nutzte PKCS#12 schwache PKCS#5-v1-PBE-Konstruktionen; moderne Implementierungen sollten gemass NIST und OpenSSL 3 PBES2 mit AES-CBC oder AES-GCM und einer PRF wie HMAC-SHA-256 verwenden. PKCS#12 ist die universelle Methode, um Serverzertifikate, S/MIME-Anmeldedaten und TLS-Client-Zertifikate in Windows, macOS, Java-Keystores oder HSMs zu importieren.
Wie schützt man sich gegen PKCS#12?
Schutzmaßnahmen gegen PKCS#12 kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für PKCS#12?
Übliche alternative Bezeichnungen: PFX, .p12, .pfx.
● Verwandte Begriffe
- cryptography№ 831
PKCS#7
Binarformat zum Verpacken signierter und/oder verschlusselter Daten, von der IETF als Cryptographic Message Syntax (CMS) in RFC 5652 standardisiert.
- cryptography№ 811
PEM-Format
Eine textuelle Codierung fur kryptografische Objekte (Schlussel, Zertifikate, CRLs) gemass RFC 7468, die Base64-codiertes DER zwischen BEGIN- und END-Zeilen einschliesst.
- cryptography№ 065
ASN.1
Abstract Syntax Notation One: ein ITU-T-Standard (X.680-Reihe), der Datenstrukturen fur Kryptografie und Telekommunikation sprachunabhangig beschreibt.
- cryptography№ 805
PBKDF2
Passwortbasierte Schlüsselableitungsfunktion gemäß PKCS #5 / RFC 8018, die eine pseudozufällige Funktion mit konfigurierbarer Iterationszahl und Salt iterativ anwendet.