PKCS#11
O que é PKCS#11?
PKCS#11Uma API C padrao, tambem chamada Cryptoki, que permite que aplicacoes usem tokens criptograficos como HSMs e cartoes inteligentes sem depender de um driver proprietario.
O PKCS#11 (Public-Key Cryptography Standard n.o 11), publicado inicialmente pela RSA Laboratories e hoje mantido pela OASIS, define uma interface C independente de plataforma chamada Cryptoki para acesso a tokens criptograficos. O token expoe slots, sessoes e objetos (chaves, certificados, dados); operacoes como C_Sign, C_Encrypt, C_Wrap e C_DeriveKey sao executadas dentro do dispositivo, de modo que as chaves privadas nunca saem dele. E o padrao de facto para integrar HSMs, cartoes inteligentes e TPM em servidores TLS (OpenSSL com pkcs11-provider), software de PKI, pipelines de assinatura de codigo e clientes KMIP. O PKCS#11 v3.1 acrescenta Ed25519, EdDSA e primitivas pos-quanticas.
● Exemplos
- 01
OpenSSL usando um YubiHSM 2 via pkcs11-provider para assinar uma solicitacao de certificado TLS.
- 02
Pipeline de assinatura de codigo invocando C_Sign em uma chave no AWS CloudHSM sem export-la.
● Perguntas frequentes
O que é PKCS#11?
Uma API C padrao, tambem chamada Cryptoki, que permite que aplicacoes usem tokens criptograficos como HSMs e cartoes inteligentes sem depender de um driver proprietario. Pertence à categoria Criptografia da cibersegurança.
O que significa PKCS#11?
Uma API C padrao, tambem chamada Cryptoki, que permite que aplicacoes usem tokens criptograficos como HSMs e cartoes inteligentes sem depender de um driver proprietario.
Como se defender contra PKCS#11?
As defesas contra PKCS#11 costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para PKCS#11?
Nomes alternativos comuns: Cryptoki, PKCS11.