PKCS#12
Что такое PKCS#12?
PKCS#12Защищённый паролем файловый формат (.pfx / .p12), объединяющий закрытый ключ с цепочкой сертификатов; стандартизован в RFC 7292.
PKCS#12 был впервые опубликован RSA Laboratories и переиздан IETF в RFC 7292. Он определяет ASN.1/DER-контейнер для хранения и передачи закрытого ключа вместе с цепочкой X.509-сертификатов. Контейнер обычно имеет расширение .pfx или .p12 и содержит один или несколько SafeBag (для ключа, сертификата, CRL), зашифрованных ключом, выведенным из пароля. Исторически PKCS#12 использовал слабые конструкции PKCS#5 v1 PBE; современные реализации, согласно рекомендациям NIST и OpenSSL 3, должны применять PBES2 с AES-CBC или AES-GCM и PRF, например HMAC-SHA-256. PKCS#12 является универсальным способом импорта серверных сертификатов, ключей S/MIME и клиентских TLS-сертификатов в Windows, macOS, Java-хранилища и средства подготовки HSM.
● Примеры
- 01
Экспорт из «Связки ключей» сертификата Apple Developer ID и его закрытого ключа в виде .p12.
- 02
Импорт TLS-сертификата сервера в Windows IIS двойным щелчком по файлу .pfx.
● Частые вопросы
Что такое PKCS#12?
Защищённый паролем файловый формат (.pfx / .p12), объединяющий закрытый ключ с цепочкой сертификатов; стандартизован в RFC 7292. Относится к категории Криптография в кибербезопасности.
Что означает PKCS#12?
Защищённый паролем файловый формат (.pfx / .p12), объединяющий закрытый ключ с цепочкой сертификатов; стандартизован в RFC 7292.
Как работает PKCS#12?
PKCS#12 был впервые опубликован RSA Laboratories и переиздан IETF в RFC 7292. Он определяет ASN.1/DER-контейнер для хранения и передачи закрытого ключа вместе с цепочкой X.509-сертификатов. Контейнер обычно имеет расширение .pfx или .p12 и содержит один или несколько SafeBag (для ключа, сертификата, CRL), зашифрованных ключом, выведенным из пароля. Исторически PKCS#12 использовал слабые конструкции PKCS#5 v1 PBE; современные реализации, согласно рекомендациям NIST и OpenSSL 3, должны применять PBES2 с AES-CBC или AES-GCM и PRF, например HMAC-SHA-256. PKCS#12 является универсальным способом импорта серверных сертификатов, ключей S/MIME и клиентских TLS-сертификатов в Windows, macOS, Java-хранилища и средства подготовки HSM.
Как защититься от PKCS#12?
Защита от PKCS#12 обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия PKCS#12?
Распространённые альтернативные названия: PFX, .p12, .pfx.
● Связанные термины
- cryptography№ 831
PKCS#7
Бинарный формат для упаковки подписанных и/или зашифрованных данных, стандартизованный IETF как Cryptographic Message Syntax (CMS) в RFC 5652.
- cryptography№ 811
Формат PEM
Текстовое кодирование криптографических объектов (ключей, сертификатов, CRL), определённое в RFC 7468 — оно оборачивает Base64-представление DER строками BEGIN и END.
- cryptography№ 065
ASN.1
Abstract Syntax Notation One — стандарт ITU-T серии X.680, описывающий структуры данных, применяемые в криптографии и телекоме, независимо от языка программирования.
- cryptography№ 805
PBKDF2
Функция деривации ключа на основе пароля, определённая в PKCS #5 / RFC 8018, применяющая псевдослучайную функцию с настраиваемым числом итераций и солью.