PKCS#11
¿Qué es PKCS#11?
PKCS#11API estándar en C, también llamada Cryptoki, que permite a las aplicaciones utilizar tokens criptograficos como HSM y tarjetas inteligentes sin depender de un controlador propietario.
PKCS#11 (Public-Key Cryptography Standard n.º 11), publicada originalmente por RSA Laboratories y ahora mantenida por OASIS, define una interfaz en C independiente de la plataforma, denominada Cryptoki, para acceder a tokens criptograficos. El token expone slots, sesiones y objetos (claves, certificados, datos) y operaciones como C_Sign, C_Encrypt, C_Wrap o C_DeriveKey se ejecutan dentro del dispositivo, de modo que las claves privadas nunca lo abandonan. Es el estandar de facto para integrar HSM, tarjetas inteligentes y almacenes TPM en servidores TLS (OpenSSL con pkcs11-provider), PKI, firma de codigo y clientes KMIP. La version actual, PKCS#11 v3.1, anade algoritmos modernos como Ed25519 y primitivas poscuanticas.
● Ejemplos
- 01
OpenSSL utilizando un YubiHSM 2 a traves de pkcs11-provider para firmar una solicitud de certificado TLS.
- 02
Un pipeline de firma de codigo que invoca C_Sign sobre una clave en AWS CloudHSM sin exportarla.
● Preguntas frecuentes
¿Qué es PKCS#11?
API estándar en C, también llamada Cryptoki, que permite a las aplicaciones utilizar tokens criptograficos como HSM y tarjetas inteligentes sin depender de un controlador propietario. Pertenece a la categoría de Criptografía en ciberseguridad.
¿Qué significa PKCS#11?
API estándar en C, también llamada Cryptoki, que permite a las aplicaciones utilizar tokens criptograficos como HSM y tarjetas inteligentes sin depender de un controlador propietario.
¿Cómo defenderse de PKCS#11?
Las defensas contra PKCS#11 combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para PKCS#11?
Nombres alternativos comunes: Cryptoki, PKCS11.