PKCS#12
¿Qué es PKCS#12?
PKCS#12Formato de archivo protegido por contrasena (.pfx / .p12) que agrupa una clave privada con su cadena de certificados, estandarizado en el RFC 7292.
PKCS#12, publicado inicialmente por RSA Laboratories y revisado por el IETF en el RFC 7292, define un contenedor ASN.1/DER para almacenar y transferir una clave privada junto con la cadena de certificados X.509 que la autentica. El contenedor, normalmente con extension .pfx o .p12, alberga uno o varios SafeBags (clave, certificado, CRL) cifrados con una clave derivada de la contrasena. Historicamente usaba construcciones PBE PKCS#5 v1 debiles; las implementaciones modernas deben usar PBES2 con AES-CBC o AES-GCM y un PRF como HMAC-SHA-256, conforme a las recomendaciones del NIST y de OpenSSL 3. Es el metodo universal para importar certificados de servidor, credenciales S/MIME y certificados cliente TLS en Windows, macOS, Java keystores y en el aprovisionamiento de HSM.
● Ejemplos
- 01
Exportar un certificado Apple Developer ID y su clave privada desde Keychain Access como .p12.
- 02
Importar un certificado de servidor TLS en Windows IIS haciendo doble clic en un .pfx.
● Preguntas frecuentes
¿Qué es PKCS#12?
Formato de archivo protegido por contrasena (.pfx / .p12) que agrupa una clave privada con su cadena de certificados, estandarizado en el RFC 7292. Pertenece a la categoría de Criptografía en ciberseguridad.
¿Qué significa PKCS#12?
Formato de archivo protegido por contrasena (.pfx / .p12) que agrupa una clave privada con su cadena de certificados, estandarizado en el RFC 7292.
¿Cómo funciona PKCS#12?
PKCS#12, publicado inicialmente por RSA Laboratories y revisado por el IETF en el RFC 7292, define un contenedor ASN.1/DER para almacenar y transferir una clave privada junto con la cadena de certificados X.509 que la autentica. El contenedor, normalmente con extension .pfx o .p12, alberga uno o varios SafeBags (clave, certificado, CRL) cifrados con una clave derivada de la contrasena. Historicamente usaba construcciones PBE PKCS#5 v1 debiles; las implementaciones modernas deben usar PBES2 con AES-CBC o AES-GCM y un PRF como HMAC-SHA-256, conforme a las recomendaciones del NIST y de OpenSSL 3. Es el metodo universal para importar certificados de servidor, credenciales S/MIME y certificados cliente TLS en Windows, macOS, Java keystores y en el aprovisionamiento de HSM.
¿Cómo defenderse de PKCS#12?
Las defensas contra PKCS#12 combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para PKCS#12?
Nombres alternativos comunes: PFX, .p12, .pfx.
● Términos relacionados
- cryptography№ 831
PKCS#7
Formato binario para empaquetar datos firmados y/o cifrados, estandarizado por el IETF como Cryptographic Message Syntax (CMS) en el RFC 5652.
- cryptography№ 811
Formato PEM
Codificacion textual de objetos criptograficos (claves, certificados, CRL) definida en el RFC 7468 que envuelve DER en Base64 con encabezados BEGIN y END.
- cryptography№ 065
ASN.1
Abstract Syntax Notation One: estandar ITU-T (serie X.680) que describe estructuras de datos usadas en criptografia y telecomunicaciones de forma independiente del lenguaje.
- cryptography№ 805
PBKDF2
Función de derivación de claves basada en contraseña definida en PKCS #5 / RFC 8018 que aplica una función pseudoaleatoria con un número configurable de iteraciones y sal.