PKCS#11
¿Qué es PKCS#11?
PKCS#11API estándar en C, también llamada Cryptoki, que permite a las aplicaciones utilizar tokens criptograficos como HSM y tarjetas inteligentes sin depender de un controlador propietario.
PKCS#11 (Public-Key Cryptography Standard n.º 11), publicada originalmente por RSA Laboratories y ahora mantenida por OASIS, define una interfaz en C independiente de la plataforma, denominada Cryptoki, para acceder a tokens criptograficos. El token expone slots, sesiones y objetos (claves, certificados, datos) y operaciones como C_Sign, C_Encrypt, C_Wrap o C_DeriveKey se ejecutan dentro del dispositivo, de modo que las claves privadas nunca lo abandonan. Es el estandar de facto para integrar HSM, tarjetas inteligentes y almacenes TPM en servidores TLS (OpenSSL con pkcs11-provider), PKI, firma de codigo y clientes KMIP. La version actual, PKCS#11 v3.1, anade algoritmos modernos como Ed25519 y primitivas poscuanticas.
● Ejemplos
- 01
OpenSSL utilizando un YubiHSM 2 a traves de pkcs11-provider para firmar una solicitud de certificado TLS.
- 02
Un pipeline de firma de codigo que invoca C_Sign sobre una clave en AWS CloudHSM sin exportarla.
● Preguntas frecuentes
¿Qué es PKCS#11?
API estándar en C, también llamada Cryptoki, que permite a las aplicaciones utilizar tokens criptograficos como HSM y tarjetas inteligentes sin depender de un controlador propietario. Pertenece a la categoría de Criptografía en ciberseguridad.
¿Qué significa PKCS#11?
API estándar en C, también llamada Cryptoki, que permite a las aplicaciones utilizar tokens criptograficos como HSM y tarjetas inteligentes sin depender de un controlador propietario.
¿Cómo funciona PKCS#11?
PKCS#11 (Public-Key Cryptography Standard n.º 11), publicada originalmente por RSA Laboratories y ahora mantenida por OASIS, define una interfaz en C independiente de la plataforma, denominada Cryptoki, para acceder a tokens criptograficos. El token expone slots, sesiones y objetos (claves, certificados, datos) y operaciones como C_Sign, C_Encrypt, C_Wrap o C_DeriveKey se ejecutan dentro del dispositivo, de modo que las claves privadas nunca lo abandonan. Es el estandar de facto para integrar HSM, tarjetas inteligentes y almacenes TPM en servidores TLS (OpenSSL con pkcs11-provider), PKI, firma de codigo y clientes KMIP. La version actual, PKCS#11 v3.1, anade algoritmos modernos como Ed25519 y primitivas poscuanticas.
¿Cómo defenderse de PKCS#11?
Las defensas contra PKCS#11 combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para PKCS#11?
Nombres alternativos comunes: Cryptoki, PKCS11.
● Términos relacionados
- cryptography№ 461
Modulo de seguridad por hardware (HSM)
Dispositivo a prueba de manipulacion que genera, almacena y usa claves criptograficas sin exponer nunca el material clave en claro al sistema operativo.
- cryptography№ 1178
Modulo de plataforma confiable (TPM)
Chip de seguridad estandar soldado a la placa o implementado en firmware que aporta almacenamiento de claves anclado en hardware, atestiguacion y arranque medido.
- cryptography№ 1054
Tarjeta inteligente
Dispositivo del tamano de una tarjeta de credito con microcontrolador seguro integrado que almacena credenciales y realiza operaciones criptograficas, definido por ISO/IEC 7816 para tarjetas con contacto.
- cryptography№ 067
Cifrado asimétrico
Esquema criptográfico que utiliza pares de claves matemáticamente vinculados —pública para cifrar y privada para descifrar— y permite la comunicación segura sin compartir secretos previos.