Apéndice B. PBE según PKCS#5 v 1.5 y PKCS#12

En el apartado de las PBE routines abordamos el tema bajo las recomendaciones de la versión 2.0 del estándar PKCS#5. Ese es el modo recomendado para las nuevas aplicaciones. También comentamos que el PKCS#12 describe una función de derivación de claves, que se encuentra implementada en OpenSSL. Lo que vamos a ver ahora es cómo seguir las recomendaciones de estos dos últimos estándares. Como veremos la cuestión no difiere mucho de lo que ya dijimos.

La función de inicialización que utilizaremos será la misma, lo único que va a cambiar es la obtención del identificador de algoritmo. Ésta es la función que vamos a utilizar:

Describamos los parámetros.

• alg. Es el NID del pbe que vamos a utilizar.
• iter. El iteration count.
• salt. El salt.
• saltlen. El tamaño del salt en bytes.

Vamos a ver un ejemplo:

Ejemplo 1. Inicializa un contexto para PKCS#5 v.1.5.

En esta ocasión utilizamos un NID que ya identifica qué algoritmo vamos a utilizar. Los NIDs de los algoritmos compatibles con el PKCS#5 v. 1.5 se muestran en la tabla siguiente:

Observando la tabla uno se da cuenta enseguida de la debilidad de la recomendación. Es por este motivo que únicamente debe ser usada por motivos de compatibilidad con otras aplicaciones.

Los NIDs correspondientes a la función de derivación de claves del pkcs#12 se muestran en la tabla 2.

OpenSSL utiliza un lista que relaciona los NIDs con su respectiva función de derivación de claves (entre otras cosas). De modo que la utilización de una u otra recomendación es transparente al programador. Veamos un ejemplo:

Ejemplo 2. Inicializa un contexto para PKCS#12.