PKCS#11標準定義了與密碼權杖(如硬件安全模組(HSM)和智能卡)的獨立於平台的API,並將API本身命名為「Cryptoki」(來自「加密權杖介面」,發音為「crypto-key」 - 但是「PKCS#11」通常用於指代API以及定義它的標準)。 API定義了最常用的加密對像類型(RSA金鑰,X.509證書,DES / 三重DES金鑰等)以及使用,創建/生成,修改和刪除這些對象所需的所有功能。

用法

大多數商業認證機構軟件使用PKCS#11訪問CA簽名金鑰或註冊用戶證書。需要使用智能卡的跨平台軟件使用PKCS#11,例如Mozilla Firefox和OpenSSL(使用擴展)。它也用於訪問智能卡和HSM。為Microsoft Windows編寫的軟件可能會使用平台特定的MS-CAPI API。雙方的Oracle Solaris和Red Hat Linux中包含用於實現由應用程式,也是如此。

關係KMIP

該金鑰管理互操作協定(KMIP)定義了具有類似的功能的PKCS#11 API一個有線協定。這兩個標準最初是獨立開發的,但現在由OASIS技術委員會管理。PKCS#11和KMIP委員會的明確目標是在切實可行的情況下對準標準。例如,PKCS#11敏感和可提取屬性正在添加到KMIP 1.4版本中。兩個技術委員會成員之間有相當大的重疊。

參考