PKCS#7
O que é PKCS#7?
PKCS#7Formato binario para empacotar dados assinados e/ou cifrados, padronizado pelo IETF como Cryptographic Message Syntax (CMS) na RFC 5652.
O PKCS#7, definido inicialmente pela RSA Laboratories, descreve como envolver dados arbitrarios em estruturas protegidas criptograficamente: SignedData, EnvelopedData, EncryptedData, DigestedData e AuthenticatedData. O IETF o republicou como Cryptographic Message Syntax (CMS) na RFC 5652, com atualizacoes como a RFC 8933 (protecao de algoritmos). O CMS e codificado em ASN.1/DER e e a base do S/MIME (RFC 8551), da assinatura de codigo (Authenticode, notarizacao da Apple), de carimbos de tempo (RFC 3161), da assinatura de documentos (PAdES) e de pacotes de certificados. Assinaturas separadas (.p7s) e pacotes so de certificados (.p7b/.p7c) sao usos comuns. O CMS suporta algoritmos modernos via RFC 8419 (EdDSA), 5754 (SHA-2) e 8769 (AES-GCM).
● Exemplos
- 01
E-mail assinado em S/MIME cuja assinatura viaja num .p7s SignedData separado.
- 02
Binario do Windows assinado com Authenticode contendo um PKCS#7 SignedData no cabecalho PE.
● Perguntas frequentes
O que é PKCS#7?
Formato binario para empacotar dados assinados e/ou cifrados, padronizado pelo IETF como Cryptographic Message Syntax (CMS) na RFC 5652. Pertence à categoria Criptografia da cibersegurança.
O que significa PKCS#7?
Formato binario para empacotar dados assinados e/ou cifrados, padronizado pelo IETF como Cryptographic Message Syntax (CMS) na RFC 5652.
Como funciona PKCS#7?
O PKCS#7, definido inicialmente pela RSA Laboratories, descreve como envolver dados arbitrarios em estruturas protegidas criptograficamente: SignedData, EnvelopedData, EncryptedData, DigestedData e AuthenticatedData. O IETF o republicou como Cryptographic Message Syntax (CMS) na RFC 5652, com atualizacoes como a RFC 8933 (protecao de algoritmos). O CMS e codificado em ASN.1/DER e e a base do S/MIME (RFC 8551), da assinatura de codigo (Authenticode, notarizacao da Apple), de carimbos de tempo (RFC 3161), da assinatura de documentos (PAdES) e de pacotes de certificados. Assinaturas separadas (.p7s) e pacotes so de certificados (.p7b/.p7c) sao usos comuns. O CMS suporta algoritmos modernos via RFC 8419 (EdDSA), 5754 (SHA-2) e 8769 (AES-GCM).
Como se defender contra PKCS#7?
As defesas contra PKCS#7 costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para PKCS#7?
Nomes alternativos comuns: CMS, Cryptographic Message Syntax, p7s, p7b.
● Termos relacionados
- cryptography№ 065
ASN.1
Abstract Syntax Notation One: norma ITU-T (serie X.680) que descreve estruturas de dados usadas em criptografia e telecomunicacoes de forma independente da linguagem.
- cryptography№ 811
Formato PEM
Codificacao textual de objetos criptograficos (chaves, certificados, CRLs) definida pela RFC 7468 que envolve DER em Base64 entre cabecalhos BEGIN e END.
- cryptography№ 830
PKCS#12
Formato de arquivo protegido por senha (.pfx / .p12) que agrupa uma chave privada com sua cadeia de certificados, padronizado pela RFC 7292.
- cryptography№ 321
Assinatura digital
Mecanismo criptográfico de chave pública que comprova autenticidade, integridade e não-repúdio de uma mensagem ou documento.
- network-security№ 955
S/MIME
Norma IETF para assinatura e cifragem ponta a ponta de mensagens MIME usando certificados X.509 emitidos por uma AC pública ou empresarial.