Este es el comando pkcs8ssl que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
pkcs8 - Herramienta de conversión de clave privada en formato PKCS # 8
SINOPSIS
openssl pkcs8 [-topk8] [-informar PEM | DER] [-superar PEM | DER] [-in nombre de archivo] [-Aconteció en arg]
[-fuera nombre de archivo] [-desmayarse arg] [-noiter] [-sincripta] [-nooctubre] [-empotrar] [-nsdb] [-v2 alg]
[-v2prf alg] [-v1 alg] [-motor id]
DESCRIPCIÓN
La pkcs8 El comando procesa claves privadas en formato PKCS # 8. Puede manejar ambos sin cifrar
Formato PKCS # 8 PrivateKeyInfo y formato EncryptedPrivateKeyInfo con una variedad de PKCS # 5
(v1.5 y v2.0) y algoritmos PKCS # 12.
COMANDO OPCIONES
-topk8
Normalmente se espera una clave privada PKCS # 8 en la entrada y un formato tradicional privado
se escribirá la clave. Con el -topk8 opción la situación se invierte: lee un
clave privada de formato tradicional y escribe una clave de formato PKCS # 8.
-informar DER | PEM
Esto especifica el formato de entrada. Si se espera una clave de formato PKCS # 8 en la entrada,
ya sea un DER or PEM Se espera una versión codificada de una clave PKCS # 8. De lo contrario, el
DER or PEM Se utiliza el formato de la clave privada de formato tradicional.
-superar DER | PEM
Esto especifica el formato de salida, las opciones tienen el mismo significado que el -informar
.
-in nombre de archivo
Esto especifica el nombre del archivo de entrada para leer una clave o entrada estándar si esta opción
no se especifica. Si la clave está encriptada, se le pedirá una frase de contraseña.
-Aconteció en arg
la fuente de contraseña del archivo de entrada. Para obtener más información sobre el formato de arg ver la
PASS FRASE ARGUMENTOS sección en openssl(1).
-fuera nombre de archivo
Esto especifica el nombre del archivo de salida para escribir una clave o la salida estándar de forma predeterminada. Si
Si se configuran las opciones de cifrado, se le pedirá una frase de contraseña. La salida
nombre de archivo debe No ser el mismo que el nombre del archivo de entrada.
-desmayarse arg
el origen de la contraseña del archivo de salida. Para obtener más información sobre el formato de arg ver la
PASS FRASE ARGUMENTOS sección en openssl(1).
-sincripta
Las claves PKCS # 8 generadas o ingresadas son normalmente estructuras PKCS # 8 EncryptedPrivateKeyInfo
utilizando un algoritmo de cifrado basado en contraseña adecuado. Con esta opción un
Se espera o se genera una estructura PrivateKeyInfo sin cifrar. Esta opción no
cifrar las claves privadas y solo debe usarse cuando sea absolutamente necesario. Cierto
software como algunas versiones del software de firma de código Java utilizado
llaves.
-nooctubre
Esta opción genera claves privadas RSA en un formato roto que utiliza algún software.
Específicamente, la clave privada debe incluirse en una CADENA DE OCTETOS, pero algunos programas
solo incluye la estructura en sí sin la CADENA DE OCTETOS circundante.
-empotrar
Esta opción genera claves DSA en un formato roto. Los parámetros de DSA están incrustados
dentro de la estructura PrivateKey. De esta forma, OCTET STRING contiene un ASN1
SECUENCIA que consta de dos estructuras: una SECUENCIA que contiene los parámetros y una
ASN1 INTEGER que contiene la clave privada.
-nsdb
Esta opción genera claves DSA en un formato roto compatible con la clave privada de Netscape
bases de datos. La PrivateKey contiene una SECUENCIA que consta de lo público y lo privado.
claves respectivamente.
-v2 alg
Esta opción habilita el uso de algoritmos PKCS # 5 v2.0. Normalmente claves privadas PKCS # 8
están cifrados con el algoritmo de cifrado basado en contraseña llamado pbeConMD5YDES-CBC
Esto usa encriptación DES de 56 bits pero fue el algoritmo de encriptación más fuerte
compatible con PKCS # 5 v1.5. Utilizando el -v2 Se utilizan algoritmos de la opción PKCS # 5 v2.0 que
Puede utilizar cualquier algoritmo de cifrado, como triple DES de 168 bits o RC128 de 2 bits, pero no
muchas implementaciones son compatibles con PKCS # 5 v2.0 todavía. Si solo está usando claves privadas con
OpenSSL, entonces esto no importa.
La alg argumento es el algoritmo de cifrado a utilizar, los valores válidos incluyen de, DES3
y rc2. Se recomienda que DES3 se utiliza.
-v2prf alg
Esta opción establece el algoritmo PRF para usar con PKCS # 5 v2.0. Un valor típico valores
sería hmacConSHA256. Si esta opción no está configurada, el valor predeterminado para el cifrado es
usado o hmacConSHA1 si no hay ningún valor predeterminado.
-v1 alg
Esta opción especifica un algoritmo PKCS # 5 v1.5 o PKCS # 12 para usar. Una lista completa de
los posibles algoritmos se incluyen a continuación.
-motor id
especificar un motor (por su id cadena) causará pkcs8 para intentar obtener un
referencia funcional al motor especificado, inicializándolo si es necesario. los
El motor se establecerá como predeterminado para todos los algoritmos disponibles.
NOTAS
La forma cifrada de un archivo PKCS # 8 con codificación PEM utiliza los siguientes encabezados y pies de página:
----- COMIENCE LA CLAVE PRIVADA CIFRADA -----
----- FINALIZAR CLAVE PRIVADA CIFRADA -----
La forma no cifrada utiliza:
----- COMIENCE LA CLAVE PRIVADA -----
----- FIN DE CLAVE PRIVADA -----
Las claves privadas cifradas con algoritmos PKCS # 5 v2.0 y un alto número de iteraciones son más
seguro que aquellos encriptados usando los formatos tradicionales compatibles con SSLeay. Así que si
La seguridad adicional se considera importante, las claves deben convertirse.
El cifrado predeterminado es de solo 56 bits porque es el cifrado más actual
las implementaciones de PKCS # 8 admitirán.
Algunos programas pueden utilizar algoritmos de cifrado basados en contraseña PKCS # 12 con formato PKCS # 8
claves privadas: se manejan automáticamente pero no hay opción para producirlas.
Es posible escribir claves privadas cifradas codificadas en DER en formato PKCS # 8 porque
los detalles de cifrado se incluyen en un nivel ASN1 mientras que el formato tradicional
los incluye a nivel PEM.
PKCS # 5 v1.5 y PKCS # 12 algoritmos.
Se pueden utilizar varios algoritmos con el -v1 opción de línea de comando, incluyendo PKCS # 5 v1.5 y
PKCS # 12. Estos estan descritos en mas detalle abajo.
PBE-MD2-DES PBE-MD5-DES
Estos algoritmos se incluyeron en la especificación PKCS # 5 v1.5 original. Ellos solo
ofrecen 56 bits de protección ya que ambos usan DES.
PBE-SHA1-RC2-64 PBE-MD2-RC2-64 PBE-MD5-RC2-64 PBE-SHA1-DES
Estos algoritmos no se mencionan en la especificación PKCS # 5 v1.5 original, pero
utilizan el mismo algoritmo de derivación de claves y son compatibles con algunos programas de software. Son
mencionado en PKCS # 5 v2.0. Usan RC64 de 2 bits o DES de 56 bits.
PBE-SHA1-RC4-128 PBE-SHA1-RC4-40 PBE-SHA1-3DES PBE-SHA1-2DES PBE-SHA1-RC2-128
PBE-SHA1-RC2-40
Estos algoritmos utilizan el algoritmo de cifrado basado en contraseña PKCS # 12 y permiten
Se utilizarán algoritmos de cifrado como triple DES o RC128 de 2 bits.
EJEMPLOS
Convierta un formato privado de tradicional a PKCS # 5 v2.0 usando triple DES:
openssl pkcs8 -in key.pem -topk8 -v2 des3 -out enckey.pem
Convierta un formato privado de tradicional a PKCS # 5 v2.0 usando AES con 256 bits en CBC
el modo y hmacConSHA256 FRP:
openssl pkcs8 -in key.pem -topk8 -v2 aes-256-cbc -v2prf hmacWithSHA256 -out enckey.pem
Convierta una clave privada a PKCS # 8 usando un algoritmo compatible con PKCS # 5 1.5 (DES):
openssl pkcs8 -in key.pem -topk8 -out enckey.pem
Convierta una clave privada a PKCS # 8 utilizando un algoritmo compatible con PKCS # 12 (3DES):
openssl pkcs8 -in key.pem -topk8 -out enckey.pem -v1 PBE-SHA1-3DES
Lea una clave privada de formato PKCS # 8 sin cifrar DER:
openssl pkcs8 -informar DER -nocrypt -en clave.der -fuera clave.pem
Convierta una clave privada de cualquier formato PKCS # 8 al formato tradicional:
openssl pkcs8 -in pk8.pem -out key.pem
NORMAS
Los vectores de prueba de esta implementación de PKCS # 5 v2.0 se publicaron en la lista de correo pkcs-tng
utilizando triple DES, DES y RC2 con altos recuentos de iteraciones, varias personas confirmaron que
podrían descifrar las claves privadas producidas y, por lo tanto, se puede suponer que el
La implementación de PKCS # 5 v2.0 es razonablemente precisa al menos en la medida en que estos algoritmos son
preocupado.
El formato de las claves privadas PKCS # 8 DSA (y otras) no está bien documentado: está oculto
en PKCS # 11 v2.01, sección 11.9. Formato de clave privada DSA PKCS # 8 predeterminado de OpenSSL
cumple con esta norma.
Use pkcs8ssl en línea usando los servicios de onworks.net
