PKCS#12
Qu'est-ce que PKCS#12 ?
PKCS#12Format de fichier protege par mot de passe (.pfx / .p12) qui regroupe une cle privee et sa chaine de certificats, standardise par la RFC 7292.
PKCS#12, publie a l'origine par RSA Laboratories et revise par l'IETF dans la RFC 7292, definit un conteneur ASN.1/DER pour stocker et transferer une cle privee et la chaine de certificats X.509 associee. Le conteneur, generalement nomme .pfx ou .p12, regroupe un ou plusieurs SafeBags (cles, certificats, CRL) chiffres avec une cle derivee d'un mot de passe. Historiquement, PKCS#12 utilisait des constructions PBE PKCS#5 v1 faibles ; les implementations modernes doivent recourir a PBES2 avec AES-CBC ou AES-GCM et un PRF comme HMAC-SHA-256, comme le recommandent le NIST et OpenSSL 3. PKCS#12 est la facon universelle d'importer des certificats serveur, des cles S/MIME et des certificats clients TLS dans Windows, macOS, les keystores Java ou les outils de provisionnement HSM.
● Exemples
- 01
Exporter depuis Trousseaux d'acces macOS un certificat Apple Developer ID et sa cle privee au format .p12.
- 02
Importer un certificat serveur TLS dans Windows IIS en double-cliquant sur un fichier .pfx.
● Questions fréquentes
Qu'est-ce que PKCS#12 ?
Format de fichier protege par mot de passe (.pfx / .p12) qui regroupe une cle privee et sa chaine de certificats, standardise par la RFC 7292. Cette notion relève de la catégorie Cryptographie en cybersécurité.
Que signifie PKCS#12 ?
Format de fichier protege par mot de passe (.pfx / .p12) qui regroupe une cle privee et sa chaine de certificats, standardise par la RFC 7292.
Comment fonctionne PKCS#12 ?
PKCS#12, publie a l'origine par RSA Laboratories et revise par l'IETF dans la RFC 7292, definit un conteneur ASN.1/DER pour stocker et transferer une cle privee et la chaine de certificats X.509 associee. Le conteneur, generalement nomme .pfx ou .p12, regroupe un ou plusieurs SafeBags (cles, certificats, CRL) chiffres avec une cle derivee d'un mot de passe. Historiquement, PKCS#12 utilisait des constructions PBE PKCS#5 v1 faibles ; les implementations modernes doivent recourir a PBES2 avec AES-CBC ou AES-GCM et un PRF comme HMAC-SHA-256, comme le recommandent le NIST et OpenSSL 3. PKCS#12 est la facon universelle d'importer des certificats serveur, des cles S/MIME et des certificats clients TLS dans Windows, macOS, les keystores Java ou les outils de provisionnement HSM.
Comment se défendre contre PKCS#12 ?
Les défenses contre PKCS#12 combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de PKCS#12 ?
Noms alternatifs courants : PFX, .p12, .pfx.
● Termes liés
- cryptography№ 831
PKCS#7
Format binaire pour emballer des donnees signees et/ou chiffrees, standardise par l'IETF sous le nom de Cryptographic Message Syntax (CMS) dans la RFC 5652.
- cryptography№ 811
Format PEM
Encodage textuel d'objets cryptographiques (cles, certificats, CRL) defini par la RFC 7468 qui encapsule du DER en Base64 entre des lignes BEGIN et END.
- cryptography№ 065
ASN.1
Abstract Syntax Notation One : norme ITU-T (serie X.680) qui decrit, de maniere independante du langage, des structures de donnees utilisees en cryptographie et en telecoms.
- cryptography№ 805
PBKDF2
Fonction de dérivation de clé basée sur mot de passe définie par PKCS #5 / RFC 8018, qui applique une fonction pseudo-aléatoire avec un nombre configurable d'itérations et un sel.