PKCS#11
O que é PKCS#11?
PKCS#11Uma API C padrao, tambem chamada Cryptoki, que permite que aplicacoes usem tokens criptograficos como HSMs e cartoes inteligentes sem depender de um driver proprietario.
O PKCS#11 (Public-Key Cryptography Standard n.o 11), publicado inicialmente pela RSA Laboratories e hoje mantido pela OASIS, define uma interface C independente de plataforma chamada Cryptoki para acesso a tokens criptograficos. O token expoe slots, sessoes e objetos (chaves, certificados, dados); operacoes como C_Sign, C_Encrypt, C_Wrap e C_DeriveKey sao executadas dentro do dispositivo, de modo que as chaves privadas nunca saem dele. E o padrao de facto para integrar HSMs, cartoes inteligentes e TPM em servidores TLS (OpenSSL com pkcs11-provider), software de PKI, pipelines de assinatura de codigo e clientes KMIP. O PKCS#11 v3.1 acrescenta Ed25519, EdDSA e primitivas pos-quanticas.
● Exemplos
- 01
OpenSSL usando um YubiHSM 2 via pkcs11-provider para assinar uma solicitacao de certificado TLS.
- 02
Pipeline de assinatura de codigo invocando C_Sign em uma chave no AWS CloudHSM sem export-la.
● Perguntas frequentes
O que é PKCS#11?
Uma API C padrao, tambem chamada Cryptoki, que permite que aplicacoes usem tokens criptograficos como HSMs e cartoes inteligentes sem depender de um driver proprietario. Pertence à categoria Criptografia da cibersegurança.
O que significa PKCS#11?
Uma API C padrao, tambem chamada Cryptoki, que permite que aplicacoes usem tokens criptograficos como HSMs e cartoes inteligentes sem depender de um driver proprietario.
Como funciona PKCS#11?
O PKCS#11 (Public-Key Cryptography Standard n.o 11), publicado inicialmente pela RSA Laboratories e hoje mantido pela OASIS, define uma interface C independente de plataforma chamada Cryptoki para acesso a tokens criptograficos. O token expoe slots, sessoes e objetos (chaves, certificados, dados); operacoes como C_Sign, C_Encrypt, C_Wrap e C_DeriveKey sao executadas dentro do dispositivo, de modo que as chaves privadas nunca saem dele. E o padrao de facto para integrar HSMs, cartoes inteligentes e TPM em servidores TLS (OpenSSL com pkcs11-provider), software de PKI, pipelines de assinatura de codigo e clientes KMIP. O PKCS#11 v3.1 acrescenta Ed25519, EdDSA e primitivas pos-quanticas.
Como se defender contra PKCS#11?
As defesas contra PKCS#11 costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para PKCS#11?
Nomes alternativos comuns: Cryptoki, PKCS11.
● Termos relacionados
- cryptography№ 461
Modulo de seguranca de hardware (HSM)
Equipamento resistente a violacao que gera, guarda e usa chaves criptograficas sem nunca expor o material da chave em claro ao sistema operativo.
- cryptography№ 1178
Trusted Platform Module (TPM)
Chip de seguranca padronizado soldado a placa principal ou implementado em firmware que oferece armazenamento de chaves ancorado em hardware, atestacao e measured boot.
- cryptography№ 1054
Cartao inteligente
Cartao do tamanho de um cartao de credito com microcontrolador seguro embarcado que guarda credenciais e realiza operacoes criptograficas, definido pela ISO/IEC 7816 para cartoes com contato.
- cryptography№ 067
Cifragem assimétrica
Esquema criptográfico que usa pares de chaves matematicamente ligados — chave pública para cifrar e privada para decifrar — permitindo comunicação segura sem partilha prévia de segredos.