El Comité técnico PKCS #11 de OASIS desarrolla mejoras del consolidado estándar PKCS #11 diseñado originalmente por los Laboratorios RSA, y con información aportada por Cryptsoft , para su uso en bibliotecas de programación, aplicaciones de código abierto, mecanismos de invocación entre programas y productos informáticos. Trabaja en aspectos tales como directrices de implementación, material formativo (tutoriales) de uso, escenarios de prueba y conjuntos de aplicaciones de prueba, pruebas de interoperabilidad, coordinación de pruebas funcionales, desarrollo de perfiles de conformidad e, incluso, desarrollo de implementaciones de referencia.
La interfaz PKCS #11 (Interfaz de dispositivo criptográfico -«Cryptographic Token Interface» o cryptoki) define un API genérico de acceso a dispositivos criptográficos. Se utiliza en todo tipo de sistemas para que las aplicaciones informáticas accedan a las claves de custodiadas en los dispositivos conectados, tales como HSM (Hardware Security Module) y tarjetas criptográficas, como la del DNI electrónico.
La API define los tipos de objetos criptográficos más comúnmente utilizados (claves RSA, certificados X.509, claves DES / Triple DES, etc.) y todas las funciones necesarias para usar, generar, modificar y eliminar esos objetos.
Gran parte de los sistemas informáticos utilizados para implementar «autoridades de certificación» usa PKCS # 11 para acceder a la clave secreta de firma de la CA o para generar certificados de usuario. El software de diferentes entornos que necesita usar tarjetas inteligentes usa PKCS # 11 (o, alternativamente funciones CSP-Cryptographic Service provider. a través de la denominada «Crypto API»), para gestionar sus funciones criptográficas.
Entre otros tipos de software, los conocidos Mozilla Firefox y OpenSSL (con una extensión). Tanto Oracle Solaris como Red Hat Linux contienen implementaciones de la interfaz PKCS # 11 para el uso de las aplicaciones que se ejecutan en esos entornos.
Como se ha indicado, una forma alternativa de acceder a las funciones criptográficas de los dispositivos en entornos Microsoft Windows es el uso de la API MS-CAPI específica de la plataforma.
El estándar PKCS # 11 lo creó originlamnete RSA Security junto con sus otros estándares PKCS en 1994.
En 2013, RSA contribuyó con el último borrador 2.30 de revisión del estándar al organismo de estandarización OASIS para que este continuara el trabajo de mantenimiento del estándar a través del recién creado Comité técnico de PKCS11.
La siguiente lista recoge las principales versiones:
- 01/1994: Primera versión borrador
- 04/1995: v1.0
- 12/1997: v2.01
- 12/1999: v2.10
- 01/2001: v2.11
- 06/2004: v2.20
- 12/2005: enmiendas 1 y 2 (tokens de contraseña de un solo uso, CT-KIP)
- 01/2007: enmienda 3 (mecanismos adicionales)
- 09/2009: borrador de la versión v2.30 de la que no llegó a publicarse la versión final con tratamiento de alegaciones)
- 12/2012: RSA anuncia que la administración de PKCS # 11 transfiere a OASIS
- 03/2013: Reuniones inaugurales de Comité Técnico de OASIS PKCS # 11 , partiendo de la versión aportada por RSA v2.30
- 04/2015: las especificaciones OASIS PKCS # 11 v2.40, (básicamente las v2.30, complementadas con ficheros «header» aportados por RSA/EMC) se convierten en las primeras normas PKCS # 11 aprobadas por OASIS
- 05/2016: OASIS aprueba la corrección de erratas «Errata 01» de PKCS # 11 v2.40
- Actualidad. En curso una profunda revisión del standard que recibirá el número 3 (v3.0)
El estándar actualizado proporciona soporte adicional para casos de uso de computación móvil y en la nube: para aplicaciones distribuidas y federadas que involucran funciones de administración de claves (generación de claves, distribución, traducción, depósito en custodia, cambio de claves); modelos basados en sesiones; dispositivos virtuales y almacenes de claves virtuales; aplicaciones inalámbricas / de sensores en evolución usando comunicación de campo cercano (NFC), RFID, Bluetooth y Wi-Fi.
Los miembros del Comité Técnico PKCS#11 también están diseñando nuevos mecanismos para la instrumentación de la API, adecuados para su uso en prototipos, perfiles y pruebas en entornos de aplicaciones con recursos limitados. Estas actualizaciones permiten la compatibilidad para facilitar la integración de PKCS # 11 con otros estándares de administración de claves criptográficas (cryptographic key management system – CKMS), que incluyen una gama más amplia de algoritmos criptográficos y modelos de servicio.
Según declara el propio comité, en su página web de OASIS, el objetivo del Comité Técnico PKCS11 es la mejora y el mantenimiento continuos del estándar PKCS # 11, ampliamente utilizado en toda la industria como una especificación básica para servicios criptográficos. El estándar PKCS # 11, desarrollado originalmente bajo el liderazgo de RSA Laboratories, especifica una API, llamada Cryptoki, para dispositivos que contienen información criptográfica y funciones criptográficas. La API sigue un enfoque simple basado en objetos, aborda los objetivos de independencia tecnológica (cualquier tipo de dispositivo) y el uso compartido de recursos (múltiples aplicaciones que acceden a múltiples dispositivos), presentando a las aplicaciones una vista común y lógica del dispositivo llamado token criptográfico.
Otras áreas de actividad incluyen la especificación de la nueva funcionalidad PKCS # 11 en apoyo de la integración con otros estándares, en concreto el Protocolo de interoperabilidad de gestión de claves de OASIS (Key Management Interoperability Protocol – KMIP). El comité también participará en actividades que apoyen la implementación efectiva e interoperable de PKCS # 11, incluyendo actividades tales como el desarrollo de orientación sobre el uso de PKCS # 11, el soporte de pruebas de interoperabilidad y la coordinación de implementaciones de referencia.
Todo es electrónico 