Dies ist der Befehl pkeyutlssl, der beim kostenlosen Hosting-Anbieter OnWorks mit einer unserer zahlreichen kostenlosen Online-Workstations wie Ubuntu Online, Fedora Online, dem Windows-Online-Emulator oder dem MAC OS-Online-Emulator ausgeführt werden kann
PROGRAMM:
NAME/FUNKTION
pkeyutl – Dienstprogramm für den Algorithmus für öffentliche Schlüssel
ZUSAMMENFASSUNG
openssl pkeyutl [-in Datei] [-aus Datei] [-signfile Datei] [-inkey Datei] [-Schlüsselform PEM|DER]
[-vorbei arg] [-peerkey Datei] [-peerform PEM|DER] [-pubin] [-sicher] [-rev] [-Zeichen]
[-verifizieren] [-verifyrecover] [-Verschlüsseln] [-entschlüsseln] [-ableiten] [-pkeyopt opt:Wert] [-hexdump]
[-asn1parse] [-Motor id]
BESCHREIBUNG
Die pkeyutl Der Befehl kann verwendet werden, um Operationen mit öffentlichen Schlüsseln mit jedem unterstützten Schlüssel auszuführen
Algorithmus.
COMMAND OPTIONAL
-in Dateinamen
Dies gibt den Namen der Eingabedatei an, aus der Daten gelesen werden sollen, oder die Standardeingabe, wenn diese Option aktiviert ist
ist nicht angegeben.
-aus Dateinamen
Gibt standardmäßig den Namen der Ausgabedatei an, in die geschrieben werden soll, oder die Standardausgabe.
-inkey Datei
Die Eingabeschlüsseldatei sollte standardmäßig ein privater Schlüssel sein.
-Schlüsselform PEM|DER
das Schlüsselformat PEM, DER oder ENGINE.
-vorbei arg
die Eingabeschlüssel-Passwortquelle. Weitere Informationen zum Format von arg finden Sie in der
PASS PHRASE ARGUMENTE Abschnitt in openssl(1).
-peerkey Datei
die Peer-Schlüsseldatei, die von Schlüsselableitungsoperationen (Vereinbarungen) verwendet wird.
-peerform PEM|DER
das Peer-Schlüsselformat PEM, DER oder ENGINE.
-Motor id
Angabe einer Engine (durch ihre eindeutige id Zeichenfolge) verursacht pkeyutl versuchen zu bekommen
eine funktionale Referenz auf die angegebene Engine und initialisiert diese bei Bedarf. Die
Engine wird dann als Standard für alle verfügbaren Algorithmen festgelegt.
-pubin
Die Eingabedatei ist ein öffentlicher Schlüssel.
-sicher
Die Eingabe ist ein Zertifikat, das einen öffentlichen Schlüssel enthält.
-rev
Kehrt die Reihenfolge des Eingabepuffers um. Dies ist für einige Bibliotheken nützlich (z. B
CryptoAPI), die den Puffer im Little-Endian-Format darstellen.
-Zeichen
Signieren Sie die Eingabedaten und geben Sie das signierte Ergebnis aus. Hierzu ist ein privater Schlüssel erforderlich.
-verifizieren
Überprüfen Sie die Eingabedaten anhand der Signaturdatei und geben Sie an, ob die Überprüfung erfolgt ist
erfolgreich oder fehlgeschlagen.
-verifyrecover
Überprüfen Sie die Eingabedaten und geben Sie die wiederhergestellten Daten aus.
-Verschlüsseln
Verschlüsseln Sie die Eingabedaten mit einem öffentlichen Schlüssel.
-entschlüsseln
Entschlüsseln Sie die Eingabedaten mit einem privaten Schlüssel.
-ableiten
Leiten Sie mithilfe des Peer-Schlüssels ein gemeinsames Geheimnis ab.
-hexdump
Hex-Dump der Ausgabedaten.
-asn1parse
asn1parse die Ausgabedaten, dies ist nützlich, wenn es mit dem kombiniert wird -verifyrecover ganz ohne irgendetwas tun oder drücken zu müssen.
wenn eine ASN1-Struktur signiert ist.
ANMERKUNG
Die unterstützten Vorgänge und Optionen variieren je nach Schlüsselalgorithmus und seinen
Implementierung. Die OpenSSL-Vorgänge und -Optionen sind unten aufgeführt.
Sofern nicht anders angegeben, unterstützen alle Algorithmen das verdauen:alg Option, die angibt
Der Digest, der für Vorgänge zum Signieren, Verifizieren und Verifizieren und Wiederherstellen verwendet wird. Der Wert alg sollte
stellt einen Digest-Namen dar, wie er im verwendet wird EVP_get_digestbyname() Funktion zum Beispiel sha1.
Dieser Wert wird nur zur Plausibilitätsprüfung der Länge der an den übergebenen Daten verwendet pkeyutl
und zum Erstellen der Strukturen, aus denen die Signatur besteht (z. B. DigestInfo in RSASSA
PKCS#1 v1.5-Signaturen). Bei RSA-, ECDSA- und DSA-Signaturen funktioniert dieses Dienstprogramm nicht
Führen Sie ein Hashing für Eingabedaten durch, sondern verwenden Sie die Daten direkt als Eingabe für die Signatur
Algorithmus. Je nach Schlüsseltyp, Signaturtyp und Auffüllmodus das Maximum
Die akzeptablen Längen der Eingabedaten sind unterschiedlich. Im Allgemeinen können die signierten Daten mit RSA nicht signiert werden
länger als der Schlüsselmodul, im Fall von ECDSA und DSA sollten die Daten nicht länger als sein
Feldgröße, andernfalls wird es stillschweigend auf die Feldgröße gekürzt.
Mit anderen Worten, wenn der Wert des Digests ist sha1 Die Eingabe sollte 20 Byte lang binär sein
Kodierung der SHA-1-Hash-Funktionsausgabe.
RSA ALGORITHM
Der RSA-Algorithmus unterstützt Verschlüsselungs-, Entschlüsselungs-, Signier-, Verifizierungs- und Verifizierungswiederherstellungsvorgänge in
allgemein. Einige Auffüllmodi unterstützen jedoch nur einige dieser Vorgänge.
-rsa_padding_mode:mode
Dadurch wird der RSA-Auffüllmodus festgelegt. Akzeptable Werte für Modus sind pkcs1 für PKCS#1
Polsterung, sslv23 für SSLv23-Padding, keine für keine Polsterung, oaep für OAEP Modus x931 für
X9.31-Modus und Pss für PSS.
Wenn beim PKCS#1-Auffüllen der Nachrichtenauszug nicht festgelegt ist, werden die bereitgestellten Daten signiert oder
direkt überprüft, anstatt a zu verwenden DigestInfo Struktur. Wenn ein Digest festgelegt ist, dann der
a DigestInfo Struktur verwendet wird und ihre Länge muss dem Digest-Typ entsprechen.
Für oeap Im Modus wird nur die Verschlüsselung und Entschlüsselung unterstützt.
Für x931 Wenn der Digest-Typ festgelegt ist, wird er zum Formatieren der Blockdaten verwendet, andernfalls der
Das erste Byte wird zur Angabe der X9.31-Digest-ID verwendet. Signieren, Verifizieren und Verifizieren und Wiederherstellen sind
können in diesem Modus durchgeführt werden.
Für Pss Im Modus werden nur Signieren und Verifizieren unterstützt und der Digest-Typ muss angegeben werden.
rsa_pss_saltlen:len
Für Pss Nur im Modus gibt diese Option die Salt-Länge an. Zwei besondere Werte sind
Unterstützt: -1 setzt die Salt-Länge auf die Digest-Länge. Beim Signieren setzt -2 das Salz
Länge auf den maximal zulässigen Wert. Bei der Überprüfung bewirkt -2, dass die Salt-Länge zunimmt
anhand der automatisch ermittelt werden PSS Blockstruktur.
DSA ALGORITHM
Der DSA-Algorithmus unterstützt nur Signierungs- und Verifizierungsvorgänge. Derzeit gibt es
Keine zusätzlichen Optionen außer verdauen. Es kann nur der SHA1-Digest verwendet werden und dieser Digest
wird standardmäßig angenommen.
DH ALGORITHM
Der DH-Algorithmus unterstützt nur die Ableitungsoperation und keine zusätzlichen Optionen.
EC ALGORITHM
Der EC-Algorithmus unterstützt Vorzeichen-, Verifizierungs- und Ableitungsoperationen. Das Zeichen und die Überprüfung
Operationen verwenden ECDSA und Ableitungen verwenden ECDH. Derzeit gibt es keine weiteren Optionen
als verdauen. Es kann nur der SHA1-Digest verwendet werden und dieser Digest wird standardmäßig angenommen.
Beispiele:
Signieren Sie einige Daten mit einem privaten Schlüssel:
openssl pkeyutl -sign -in file -inkey key.pem -out sig
Stellen Sie die signierten Daten wieder her (z. B. wenn ein RSA-Schlüssel verwendet wird):
openssl pkeyutl -verifyrecover -in sig -inkey key.pem
Überprüfen Sie die Signatur (z. B. einen DSA-Schlüssel):
openssl pkeyutl -verify -in file -sigfile sig -inkey key.pem
Signieren Sie Daten mit einem Nachrichten-Digest-Wert (dies gilt derzeit nur für RSA):
openssl pkeyutl -sign -in file -inkey key.pem -out sig -pkeyopt summary:sha256
Leiten Sie einen Shared-Secret-Wert ab:
openssl pkeyutl -derive -inkey key.pem -peerkey pubkey.pem -out Secret
Verwenden Sie pkeyutlssl online über die Dienste von onworks.net
