Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# PKCS11 libreria principale
<a name="security-pkcs"></a>

**Nota**  <a name="out-of-date-message"></a>
Il contenuto di questa pagina potrebbe non esserlo. up-to-date Consulta la [pagina della libreria di Freertos.org](https://www.freertos.org/Documentation/03-Libraries/01-Library-overview/01-All-libraries) per l'ultimo aggiornamento.

## Panoramica di
<a name="freertos-pkcs-overview"></a>

Il Public Key Cryptography Standard \$111 definisce un'API indipendente dalla piattaforma per gestire e utilizzare i token crittografici. [PKCS \$111](https://en.wikipedia.org/wiki/PKCS_11) si riferisce all'API definita dallo standard e allo standard stesso. L'API crittografica PKCS \$111 astrae l'archiviazione delle chiavi, get/set le proprietà degli oggetti crittografici e la semantica delle sessioni. È ampiamente utilizzata per manipolare oggetti crittografici comuni ed è importante perché le funzioni che specifica consentono al software applicativo di utilizzare, creare, modificare ed eliminare oggetti crittografici, senza mai esporre tali oggetti alla memoria dell'applicazione. Ad esempio, le integrazioni di riferimento AWS FreerTOS utilizzano un piccolo sottoinsieme dell'API PKCS \$111 per accedere alla chiave segreta (privata) necessaria per creare una connessione di rete autenticata e protetta dal protocollo [Transport Layer Security (TLS) senza che l'](https://en.wikipedia.org/wiki/Transport_Layer_Security)applicazione «veda» la chiave.

La PKCS11 libreria principale contiene un'implementazione fittizia basata su software dell'interfaccia (API) PKCS \$111 che utilizza la funzionalità crittografica fornita da Mbed TLS. L'utilizzo di un software mock consente uno sviluppo e una flessibilità rapidi, ma è previsto che il mock venga sostituito con un'implementazione specifica per l'archiviazione sicura delle chiavi utilizzata nei dispositivi di produzione. In genere, i fornitori di criptoprocessori sicuri, come Trusted Platform Module (TPM), Hardware Security Module (HSM), Secure Element o qualsiasi altro tipo di enclave hardware sicura, distribuiscono un'implementazione PKCS \$111 con l'hardware. Lo scopo della mock library core PKCS11 software only è quindi quello di fornire un'implementazione PKCS \$111 non specifica per l'hardware che consenta la prototipazione e lo sviluppo rapidi prima di passare a un'implementazione PKCS \$111 specifica per criptoprocessori nei dispositivi di produzione.

Viene implementato solo un sottoinsieme dello standard PKCS \$111, con particolare attenzione alle operazioni che coinvolgono chiavi asimmetriche, generazione di numeri casuali e hashing. I casi d'uso mirati includono la gestione di certificati e chiavi per l'autenticazione TLS e la verifica della firma con firma in codice su piccoli dispositivi integrati. Guarda il file `pkcs11.h` (ottenuto da OASIS, il corpo standard) nel repository del codice sorgente di FreerTOS. Nell'implementazione di [riferimento di FreerTOS](https://docs.aws.amazon.com/embedded-csdk/latest/lib-ref/libraries/standard/corePKCS11/docs/doxygen/output/html/index.html), le chiamate API PKCS \$111 vengono effettuate dall'interfaccia helper TLS per eseguire l'autenticazione del client TLS durante. `SOCKETS_Connect` Le chiamate API PKCS \$111 vengono effettuate anche dal nostro flusso di lavoro monouso di provisioning per gli sviluppatori per importare un certificato client TLS e una chiave privata per l'autenticazione nel broker MQTT. AWS IoT Questi due casi d'uso, il provisioning e l'autenticazione del client TLS, richiedono l'implementazione solo di un piccolo sottoinsieme dello standard di interfaccia PKCS \$111.

## Funzionalità
<a name="freertos-pcks-features"></a>

Viene utilizzato il seguente sottoinsieme di PKCS \$111. L'ordine dell'elenco è pressappoco quello con cui le routine vengono chiamate per il provisioning, l'autenticazione client TLS e la pulizia. Per descrizioni dettagliate delle funzioni, consultate la documentazione PKCS \$111 fornita dal comitato standard.

### Configurazione generale e API di disattivazione
<a name="pkcs-required-setup-teardown"></a>
+ `C_Initialize`
+ `C_Finalize`
+ `C_GetFunctionList`
+ `C_GetSlotList`
+ `C_GetTokenInfo`
+ `C_OpenSession`
+ `C_CloseSession`
+ `C_Login`

### API di provisioning
<a name="pkcs-required-provisioning"></a>
+ `C_CreateObject CKO_PRIVATE_KEY` (per chiave privata dispositivo)
+ `C_CreateObject CKO_CERTIFICATE` (per certificato dispositivo e certificato di verifica del codice)
+ `C_GenerateKeyPair`
+ `C_DestroyObject`

### Autenticazione client
<a name="pkcs-required-client-auth"></a>
+ `C_GetAttributeValue`
+ `C_FindObjectsInit`
+ `C_FindObjects`
+ `C_FindObjectsFinal`
+ `C_GenerateRandom`
+ `C_SignInit`
+ `C_Sign`
+ `C_VerifyInit`
+ `C_Verify`
+ `C_DigestInit`
+ `C_DigestUpdate`
+ `C_DigestFinal`

## Supporto per sistema di crittografia asimmetrica
<a name="pkcs-asym-crypto"></a>

L'implementazione di riferimento di FreerTOS utilizza PKCS \$111 RSA a 2048 bit (solo firma) ed ECDSA con la curva NIST P-256. Le seguenti istruzioni descrivono come creare un oggetto basato su un certificato client P-256. AWS IoT 

Assicurati di utilizzare le seguenti (o più recenti) versioni di AWS CLI e OpenSSL:

```
aws --version
aws-cli/1.11.176 Python/2.7.9 Windows/8 botocore/1.7.34

openssl version
OpenSSL 1.0.2g  1 Mar 2016
```

La procedura seguente presuppone che sia stato utilizzato il `aws configure` comando per configurare. AWS CLI Per ulteriori informazioni, vedere [Configurazione rapida con `aws configure`](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-quickstart.html#cli-configure-quickstart-config) nella *Guida per l'AWS Command Line Interface utente*.

**Per creare AWS IoT qualcosa basato su un certificato client P-256**

1. Crea qualsiasi AWS IoT cosa.

   ```
   aws iot create-thing --thing-name thing-name
   ```

1. Utilizzare OpenSSL per la creazione di una chiave P-256.

   ```
   openssl genpkey -algorithm EC -pkeyopt ec_paramgen_curve:P-256 -pkeyopt ec_param_enc:named_curve -outform PEM -out thing-name.key
   ```

1. Creare una richiesta di registrazione dei certificati firmata dalla chiave creata nella fase 2.

   ```
   openssl req -new -nodes -days 365 -key thing-name.key -out thing-name.req
   ```

1. Invia la richiesta di iscrizione al certificato a. AWS IoT

   ```
   aws iot create-certificate-from-csr  \
     --certificate-signing-request file://thing-name.req --set-as-active  \
     --certificate-pem-outfile thing-name.crt
   ```

1. Collegare il certificato (cui fa riferimento l'output ARN mediante il comando precedente) all'oggetto.

   ```
   aws iot attach-thing-principal --thing-name thing-name \
     --principal "arn:aws:iot:us-east-1:123456789012:cert/86e41339a6d1bbc67abf31faf455092cdebf8f21ffbc67c4d238d1326c7de729"
   ```

1. Creazione di una policy. (Questa politica è troppo permissiva. Dovrebbe essere usato solo per scopi di sviluppo.)

   ```
   aws iot create-policy --policy-name FullControl --policy-document file://policy.json
   ```

   Di seguito è riportato un elenco relativo al file policy.json specificato nel comando `create-policy`. Puoi omettere l'`greengrass:*`azione se non vuoi eseguire la demo di FreerTOS per la connettività e il rilevamento di Greengrass.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "iot:*",
         "Resource": "*"
       },
       {
         "Effect": "Allow",
         "Action": "greengrass:*",
         "Resource": "*"
       }
     ]
   }
   ```

------

1. Collegare l'entità principale (certificato) e la policy all'oggetto.

   ```
   aws iot attach-principal-policy --policy-name FullControl \
     --principal "arn:aws:iot:us-east-1:123456789012:cert/86e41339a6d1bbc67abf31faf455092cdebf8f21ffbc67c4d238d1326c7de729"
   ```

Ora seguire le fasi illustrate nella sezione [Nozioni di base su AWS IoT](https://docs.aws.amazon.com/iot/latest/developerguide/iot-gs.html) di questa guida. Non dimenticare di copiare la chiave privata e del certificato creati nel file `aws_clientcredential_keys.h`. Copiare il nome dell'oggetto in `aws_clientcredential.h`.

**Nota**  
Il certificato e la chiave privata sono hardcoded solo a scopo dimostrativo. Le applicazioni a livello di produzione devono archiviare questi file in un percorso sicuro.

## Portabilità
<a name="freertos-pkcs-porting"></a>

Per informazioni sul porting della PKCS11 libreria principale sulla tua piattaforma, consulta [Porting the core PKCS11 Library](https://docs.aws.amazon.com/freertos/latest/portingguide/afr-porting-pkcs.html) nella FreerTOS Porting Guide.

## Uso della memoria
<a name="freertos-pkcs-memory"></a>


****  

| Dimensione del codice del core PKCS11 (esempio generato con GCC per ARM Cortex-M) | File | Con ottimizzazione -O1 | Con ottimizzazione -Os | 
| --- | --- | --- | --- | 
| core\$1pkcs11.c | 0,8K | 0,8 K | 
| core\$1pki\$1utils.c | 0,5K | 0,3 K | 
| core\$1pkcs11\$1mbedtls.c | 8,9K | 7,5 K | 
| Stime totali | 10,2 K | 8,6K |