0

首先,我试图在安全性方面提出这个问题——我得到了一些支持,但似乎已经有一个星期没有答案了。我知道这是与 openssl 相关的,但是它源于使用 java KeyPairGenerator 对象,所以我觉得它可能对堆栈溢出有效。请看下面的代码:

我一直在使用 java 的 KeyPairGenerator 来在程序中生成公钥/私钥,以便我可以加密和解密文件(也使用 java 加密/解密方法)。我希望能够转而使用 openssl 来生成这些公钥私钥对,但是如果我使用命令行生成的 openssl 密钥解密文件时,我会不断收到填充异常。例如,我没有使用 java 的 KeyPairGenerator,而是尝试使用 openssl 生成密钥:

openssl rsa -in keypair.pem -outform DEF -pubout -out public.der
openssl pkcs8 -topk8 -nocrypt -in keypair.pem -outform DER -out private.der

我尝试使用 DER 文件来加密/解密我的文件。最终,我尝试过的每种密钥格式似乎都给我带来了问题。

我假设这意味着我的 openssl 命令中的键格式与 java 的 KeyPairGenerator 的工作方式不匹配。这是我的密钥生成代码的片段:

public void createPublicPrivateKeys() throws IOException, NoSuchAlgorithmException {
    BufferedReader in = new BufferedReader(new InputStreamReader(System.in));
    logger.info("Password to encrypt the private key: ");
    String password = in.readLine();
    logger.info("Generating an RSA keypair.");

    // Create an RSA key key pair
    KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA");
    keyPairGenerator.initialize(4096);
    KeyPair keyPair = keyPairGenerator.genKeyPair();

    logger.info("Done generating the keypair.\n");

    // Write public key out to a file
    String publicKeyFilename = "publicKey.der";
    logger.info("Public key filename: " + publicKeyFilename);

    // Get  encoded form of the public key for future usage -- this is X.509 by default.
     byte[] publicKeyBytes = keyPair.getPublic().getEncoded();

     // Write the encoded public key
     FileOutputStream fos = new FileOutputStream(publicKeyFilename);
     fos.write(publicKeyBytes);
     fos.close();

     String privateKeyFilename = "privateKey.der";
     logger.info("Private key filename: " + privateKeyFilename);

     // Get the encoded form -- PKCS#8 by default.
     byte[] privateKeyBytes = keyPair.getPrivate().getEncoded();

     // Encrypt the password
     byte[] encryptedPrivateKeyBytes = new byte[0];
     try {
         encryptedPrivateKeyBytes = passwordEncrypt(password.toCharArray(), privateKeyBytes);
     } catch (Exception e) {
         e.printStackTrace();
     }

     fos = new FileOutputStream(privateKeyFilename);
     fos.write(encryptedPrivateKeyBytes);
     fos.close();
 }

使用 java 的标准 KeyPairGenerator 的 openssl 等效命令行语句是什么?另请注意,不能选择使用诸如充气城堡之类的外部包。

4

1 回答 1

1

OpenSSL 命令行rsapkcs8不生成密钥对;它们仅从一种形式转换为另一种形式和/或显示。对于 RSA(仅),genrsa生成一个密钥对,采用 OpenSSL 的“传统”私钥格式,该格式不(容易)与 Java 兼容。您的rsapkcs8命令确实将传统格式转换为 Java 喜欢的“X.509”(SPKI)和 PKCS#8 DER 格式。自 1.0.0 起的 OpenSSL 还genpkey为所有支持的非对称算法(包括 RSA)生成密钥或适用的参数,默认为 PKCS#8 输出。

您的 Java 代码有一个passwordEncrypt不是标准 Java 的步骤,也没有解释。如果您这样做,OpenSSL 库支持根据该标准对 PKCS#8 进行基于密码的加密passwordEncrypt,但大多数 OpenSSL 命令行函数不支持。如果您尝试private.der在 Java 中使用您的示例,并尝试对其进行任何类型的基于密码(或其他)的解密,那将无法正常工作,因为它没有加密;它甚至不在用于加密密钥的 PKCS#8 结构中。但是,在您尝试解密任何数据或更可能是工作密钥之前,就会发生该错误。

于 2015-10-21T23:58:10.640 回答