私鑰保存形式主要有文件、密碼設備和軟件系統三種。

當用文件形式保存私鑰時,私鑰的安全性通常用口令保護,同時基於口令可加密存儲私鑰文件。當系統用私鑰簽名或解密時,需把該私鑰文件讀入內存或密碼模塊中進行密碼運算。為保護私鑰的安全性,通常使用口令加密保護私鑰文件。

當用密碼設備形式保存私鑰時,密碼設備可给予安全機制保護私鑰存儲與訪問的安全性。

當用軟件系統方式保存私鑰時，私鑰完全由軟件系統管理，其安全性完全依賴於軟件系統，不同系統下私鑰存儲形式和安全性可能不同。

1.PKCS#8文件形式

PKCS#8規定了私鑰單獨以文件形式保存時的具體格式。

2.PKCS#12文件格式

當私鑰用PKCS#12形式保存時，常用的文件後綴為pfx或p12。

(1)PFX

PKCS#12規定了私鑰和證書以單個文件形式保存時的具體格式。

(2)macData

macData包含消息認證碼mac及相關參數macSalt、iterations，採用口令方式保證authSafe數據完整性。

(3)authSafe

authSafe包含私鑰和證書數據，採用密碼消息ContentInfo類型。authSafe的contentType字段可是signedData類型，也可是data類型。當為signedData類型時，基於公鑰保證數據完整性；當用data類型時，基於口令確保完整性，消息認證碼信息保存在macData中。authSafe的content字段直接（data類型）或間接（signedData類型）包含AuthenticatadSafe類型的編碼結果。

(4)SafeContent

(5)常用SafeBag類型

常用SafeBag類型包括：keyBag、pkcs8ShroudedKeyBag、certBag、crlBag、secretBag、safeContentsBag等。

3.Java Keystore文件形式

JDK 1.4已經支持X.509數字證書標準。Java平台把密鑰庫當做密鑰(公私鑰對)與證書的資源管理庫。密鑰庫物理上是個文件,缺省名是keystore。由一個別名來區分密鑰和證書,每個別名均被唯一的口令保護。密鑰庫本身也受口令保護。

當私鑰用Java Keystore形式保存時,常用的文件後綴為jks。

Keystore文件可由keytool工具與Java類兩種方式訪問或操作 。

keytool是JDK自帶工具,密鑰庫中的公私鑰對與數字證書管理很方便。

4.密碼設備形式

密碼設備是指以硬件形式存在的密碼模塊。

該模式下，私鑰保存在密碼設備中，具體包括以下幾個方面。

（1）密碼設備分類

（2）私鑰存儲方式

（3）私鑰存儲安全性

（4）私鑰訪問方式

（5）私鑰訪問安全性

5.軟件系統形式

當採用軟件系統方式保存私鑰時，私鑰完全由軟件系統進行管理，其安全性完全依賴於軟件系統，不同系統下私鑰存儲形式和安全性可能不同。私鑰可能以單獨文件形式存在，也可能與其他數據打包後保存。