Questo è il comando pkeyutlssl che può essere eseguito nel provider di hosting gratuito OnWorks utilizzando una delle nostre molteplici workstation online gratuite come Ubuntu Online, Fedora Online, emulatore online Windows o emulatore online MAC OS
PROGRAMMA:
NOME
pkeyutl - utility per algoritmi a chiave pubblica
SINOSSI
OpenSSL pkeyutl [-in filetto] [-su filetto] [-sigfile filetto] [-inchiave filetto] [-forma chiave PEM|DER]
[-passino arg] [-peerkey filetto] [-peerform PEM|DER] [-pubina] [-certino] [-riv] [-cartello]
[-verificare] [-verificarecuperare] [-crittografare] [-decrittografare] [-derivare] [-pkeyopt opt:valore] [- scarico esadecimale]
[-asn1parse] [-motore id]
DESCRIZIONE
Il Marketplace per le pkeyutl comando può essere utilizzato per eseguire operazioni con chiave pubblica utilizzando qualsiasi supporto
algoritmo.
COMANDO VERSIONI
-in Nome del file
Questo specifica il nome del file di input da cui leggere i dati o l'input standard se questa opzione
non è specificato.
-su Nome del file
specifica il nome del file di output su cui scrivere o lo standard output per impostazione predefinita.
-inchiave filetto
il file della chiave di input, per impostazione predefinita dovrebbe essere una chiave privata.
-forma chiave PEM|DER
il formato chiave PEM, DER o ENGINE.
-passino arg
l'origine della password della chiave di input. Per maggiori informazioni sul formato di arg si può consultare il
PASSAGGIO FRASE ARGOMENTI sezione in OpenSSL(1).
-peerkey filetto
il file della chiave peer, utilizzato dalle operazioni di derivazione della chiave (accordo).
-peerform PEM|DER
il formato della chiave peer PEM, DER o ENGINE.
-motore id
specificando un motore (dalla sua unica id stringa) causerà pkeyutl tentare di ottenere
un riferimento funzionale al motore specificato, inizializzandolo quindi se necessario. Il
motore verrà quindi impostato come predefinito per tutti gli algoritmi disponibili.
-pubina
il file di input è una chiave pubblica.
-certino
l'input è un certificato contenente una chiave pubblica.
-riv
invertire l'ordine del buffer di input. Questo è utile per alcune librerie (come
CryptoAPI) che rappresentano il buffer in formato little endian.
-cartello
firmare i dati di input ed emettere il risultato firmato. Ciò richiede una chiave privata.
-verificare
verificare i dati di input rispetto al file di firma e indicare se la verifica
riuscito o fallito.
-verificarecuperare
verificare i dati di input e restituire i dati recuperati.
-crittografare
crittografare i dati di input utilizzando una chiave pubblica.
-decrittografare
decrittografare i dati di input utilizzando una chiave privata.
-derivare
derivare un segreto condiviso utilizzando la chiave peer.
- scarico esadecimale
hex dump dei dati di output.
-asn1parse
asn1parse i dati di output, questo è utile se combinato con il -verificarecuperare opzione
quando una struttura ASN1 è firmata.
NOTE
Le operazioni e le opzioni supportate variano in base all'algoritmo chiave e ai suoi
implementazione. Le operazioni e le opzioni di OpenSSL sono indicate di seguito.
Se non diversamente specificato, tutti gli algoritmi supportano il digerire: alg opzione che specifica
il digest in uso per le operazioni di firma, verifica e verificarecupero. Il valore alg dovrebbero
rappresentano un nome digest come usato nel EVP_get_digestbyname() funzione per esempio sha1.
Questo valore viene utilizzato solo per il controllo dell'integrità delle lunghezze dei dati passati al pkeyutl
e per creare le strutture che compongono la firma (es DigestInfo in RASSA
PKCS#1 v1.5 firme). In caso di firme RSA, ECDSA e DSA, questa utility non lo farà
eseguire l'hashing sui dati di input ma piuttosto utilizzare i dati direttamente come input della firma
algoritmo. A seconda del tipo di chiave, del tipo di firma e della modalità di riempimento, il massimo
le lunghezze accettabili dei dati di input differiscono. In generale, con RSA i dati firmati non possono essere
più lungo del modulo chiave, in caso di ECDSA e DSA i dati non dovrebbero essere più lunghi di
dimensione del campo, altrimenti verrà troncata silenziosamente alla dimensione del campo.
In altre parole, se il valore di digest è sha1 l'input dovrebbe essere binario lungo 20 byte
codifica dell'output della funzione hash SHA-1.
RSA ALGORITMO
L'algoritmo RSA supporta le operazioni di crittografia, decrittografia, firma, verifica e recupero in
generale. Tuttavia, alcune modalità di riempimento supportano solo alcune di queste operazioni.
-rsa_padding_mode:modalità
Questo imposta la modalità di riempimento RSA. Valori accettabili per modo sono pkcs1 per PKCS#1
imbottitura, slv23 per il riempimento SSLv23, nessuna senza imbottitura, oa per OAEP modalità, x931 per
Modalità X9.31 e pss per PSS.
In PKCS#1 padding se il digest del messaggio non è impostato, i dati forniti vengono firmati o
verificato direttamente invece di usare a DigestInfo struttura. Se è impostato un digest allora il
a DigestInfo viene utilizzata la struttura e la sua lunghezza deve corrispondere al tipo di digest.
Per oea è supportata solo la modalità di crittografia e decrittografia.
Per x931 se il tipo digest è impostato viene utilizzato per formattare i dati del blocco altrimenti il
il primo byte viene utilizzato per specificare l'ID digest X9.31. Firma, verifica e verifica il recupero sono
può essere eseguito in questa modalità.
Per pss modalità solo firma e verifica sono supportati e il tipo di digest deve essere specificato.
rsa_pss_salen:len
Per pss mode solo questa opzione specifica la lunghezza del sale. Due valori speciali sono
supportato: -1 imposta la lunghezza del sale sulla lunghezza del digest. Quando si firma -2 imposta il sale
lunghezza al valore massimo consentito. Quando si verifica -2, la lunghezza del sale diventa
essere determinato automaticamente in base al PSS struttura a blocchi.
DSA ALGORITMO
L'algoritmo DSA supporta solo le operazioni di firma e verifica. Attualmente ci sono
nessuna opzione aggiuntiva oltre a digerire. È possibile utilizzare solo il digest SHA1 e questo digest
è assunto per impostazione predefinita.
DH ALGORITMO
L'algoritmo DH supporta solo l'operazione di derivazione e nessuna opzione aggiuntiva.
EC ALGORITMO
L'algoritmo EC supporta le operazioni di segno, verifica e derivazione. Il segno e verifica
le operazioni usano ECDSA e derive usa ECDH. Attualmente non ci sono opzioni aggiuntive altro
di digerire. È possibile utilizzare solo il digest SHA1 e questo digest viene assunto per impostazione predefinita.
ESEMPI
Firma alcuni dati utilizzando una chiave privata:
openssl pkeyutl -sign -in file -inkey key.pem -out sig
Recuperare i dati firmati (ad es. se si utilizza una chiave RSA):
openssl pkeyutl -verifyrecover -in sig -inkey key.pem
Verifica la firma (ad es. una chiave DSA):
openssl pkeyutl -verify -in file -sigfile sig -inkey key.pem
Firma i dati utilizzando un valore digest del messaggio (questo è attualmente valido solo per RSA):
openssl pkeyutl -sign -in file -inkey key.pem -out sig -pkeyopt digest:sha256
Ricava un valore segreto condiviso:
openssl pkeyutl -derive -inkey key.pem -peerkey pubkey.pem -out segreto
Usa pkeyutlssl online usando i servizi onworks.net
