PKCS#11
Qu'est-ce que PKCS#11 ?
PKCS#11API C standard, egalement appelee Cryptoki, qui permet aux applications d'utiliser des jetons cryptographiques comme les HSM et les cartes a puce sans dependre d'un pilote proprietaire.
PKCS#11 (Public-Key Cryptography Standard n. 11), publie a l'origine par RSA Laboratories et maintenu aujourd'hui par OASIS, definit une interface C independante de la plate-forme, Cryptoki, pour acceder aux jetons cryptographiques. Le jeton expose des slots, des sessions et des objets (cles, certificats, donnees) ; les operations C_Sign, C_Encrypt, C_Wrap ou C_DeriveKey s'executent a l'interieur du composant, si bien que les cles privees ne le quittent jamais. C'est le standard de fait pour piloter HSM, cartes a puce et magasins TPM depuis des serveurs TLS (OpenSSL via pkcs11-provider), des PKI, des chaines de signature de code et des clients KMIP. PKCS#11 v3.1 ajoute Ed25519, EdDSA et des primitives post-quantiques.
● Exemples
- 01
OpenSSL utilisant un YubiHSM 2 via pkcs11-provider pour signer une demande de certificat TLS.
- 02
Un pipeline de signature de code appelant C_Sign sur une cle hebergee dans AWS CloudHSM sans jamais l'exporter.
● Questions fréquentes
Qu'est-ce que PKCS#11 ?
API C standard, egalement appelee Cryptoki, qui permet aux applications d'utiliser des jetons cryptographiques comme les HSM et les cartes a puce sans dependre d'un pilote proprietaire. Cette notion relève de la catégorie Cryptographie en cybersécurité.
Que signifie PKCS#11 ?
API C standard, egalement appelee Cryptoki, qui permet aux applications d'utiliser des jetons cryptographiques comme les HSM et les cartes a puce sans dependre d'un pilote proprietaire.
Comment fonctionne PKCS#11 ?
PKCS#11 (Public-Key Cryptography Standard n. 11), publie a l'origine par RSA Laboratories et maintenu aujourd'hui par OASIS, definit une interface C independante de la plate-forme, Cryptoki, pour acceder aux jetons cryptographiques. Le jeton expose des slots, des sessions et des objets (cles, certificats, donnees) ; les operations C_Sign, C_Encrypt, C_Wrap ou C_DeriveKey s'executent a l'interieur du composant, si bien que les cles privees ne le quittent jamais. C'est le standard de fait pour piloter HSM, cartes a puce et magasins TPM depuis des serveurs TLS (OpenSSL via pkcs11-provider), des PKI, des chaines de signature de code et des clients KMIP. PKCS#11 v3.1 ajoute Ed25519, EdDSA et des primitives post-quantiques.
Comment se défendre contre PKCS#11 ?
Les défenses contre PKCS#11 combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de PKCS#11 ?
Noms alternatifs courants : Cryptoki, PKCS11.
● Termes liés
- cryptography№ 461
Module de securite materiel (HSM)
Appareil materiel inviolable qui genere, stocke et utilise les cles cryptographiques sans jamais exposer le materiel cle en clair au systeme d'exploitation.
- cryptography№ 1178
Trusted Platform Module (TPM)
Puce de securite standardisee soudee a la carte mere ou implementee en firmware, fournissant stockage de cles ancre materiellement, attestation et measured boot.
- cryptography№ 1054
Carte a puce
Carte au format carte de credit integrant un microcontroleur securise qui stocke des justificatifs et effectue des operations cryptographiques, normalisee par ISO/IEC 7816 pour les cartes a contact.
- cryptography№ 067
Chiffrement asymétrique
Schéma cryptographique utilisant des paires de clés liées mathématiquement — clé publique pour chiffrer, clé privée pour déchiffrer — qui permet de communiquer en sécurité sans partage préalable de secret.