זוהי הפקודה pkeyutlssl שניתן להפעיל בספק האירוח החינמי של OnWorks באמצעות אחת מתחנות העבודה המקוונות המרובות שלנו, כגון Ubuntu Online, Fedora Online, אמולטור מקוון של Windows או אמולטור מקוון של MAC OS
תָכְנִית:
שֵׁם
pkeyutl - כלי עזר לאלגוריתם מפתח ציבורי
תַקצִיר
OpenSSL pkeyutl [- פילה] [אאוט פילה] [-sigfile פילה] [-דיו פילה] [-צורת מפתח PEM|DER]
[-פאסין גדול מ] [-מפתח הצצה פילה] [-להופיע PEM|DER] [-פובין] [-בטוח] [-לְהַאִיץ] [-סִימָן]
[-תאשר] [-verifyrecover] [-הצפין] [-פענוח] [-לְהָפִיק] [-pkeyopt opt:value] [-הקסדמפ]
[-asn1parse] [-מנוע id]
תיאור
השמיים pkeyutl ניתן להשתמש בפקודה לביצוע פעולות מפתח ציבורי באמצעות כל נתמך
אלגוריתם.
פקודה אפשרויות
- שם הקובץ
זה מציין את שם קובץ הקלט שממנו יש לקרוא נתונים או קלט סטנדרטי אם אפשרות זו
לא מצוין.
אאוט שם הקובץ
מציין את שם קובץ הפלט לכתיבה או פלט סטנדרטי כברירת מחדל.
-דיו פילה
קובץ מפתח הקלט, כברירת מחדל הוא צריך להיות מפתח פרטי.
-צורת מפתח PEM|DER
פורמט המפתח PEM, DER או ENGINE.
-פאסין גדול מ
מקור הסיסמה של מפתח הקלט. למידע נוסף על הפורמט של גדול מ לראות
PASS משפט טיעונים קטע ב OpenSSL(1).
-מפתח הצצה פילה
קובץ מפתח עמיתים, המשמש לפעולות גזירת מפתח (הסכם).
-להופיע PEM|DER
פורמט מפתח עמיתים PEM, DER או ENGINE.
-מנוע id
ציון מנוע (לפי הייחודי שלו id מחרוזת) יגרום pkeyutl לנסות להשיג
התייחסות פונקציונלית למנוע שצוין, ובכך לאתחל אותו במידת הצורך. ה
לאחר מכן, המנוע יוגדר כברירת המחדל עבור כל האלגוריתמים הזמינים.
-פובין
קובץ הקלט הוא מפתח ציבורי.
-בטוח
הקלט הוא תעודה המכילה מפתח ציבורי.
-לְהַאִיץ
הפוך את הסדר של מאגר הקלט. זה שימושי עבור ספריות מסוימות (כגון
CryptoAPI) המייצגים את המאגר בפורמט אנדיאן קטן.
-סִימָן
חתמו על נתוני הקלט והוציאו את התוצאה החתומה. זה דורש מפתח פרטי.
-תאשר
לאמת את נתוני הקלט מול קובץ החתימה ולציין אם האימות
הצליח או נכשל.
-verifyrecover
אמת את נתוני הקלט ופלט את הנתונים המשוחזרים.
-הצפין
הצפין את נתוני הקלט באמצעות מפתח ציבורי.
-פענוח
פענוח נתוני הקלט באמצעות מפתח פרטי.
-לְהָפִיק
להפיק סוד משותף באמצעות מפתח עמית.
-הקסדמפ
hex dump את נתוני הפלט.
-asn1parse
asn1parse את נתוני הפלט, זה שימושי בשילוב עם -verifyrecover אוֹפְּצִיָה
כאשר מבנה ASN1 חתום.
אורים
הפעולות והאפשרויות הנתמכות משתנות בהתאם לאלגוריתם המפתח ושלו
יישום. הפעולות והאפשרויות של OpenSSL מצוינות להלן.
אלא אם כן צוין אחרת, כל האלגוריתמים תומכים ב- digest:alg אפשרות שמפרטת
התקציר שנמצא בשימוש עבור פעולות חתימה, אימות ואימות שחזור. הערך ALG צריך
מייצגים שם תקציר כפי שמשמש ב- EVP_get_digestbyname() פונקציה למשל sha1.
ערך זה משמש רק לבדיקת שפיות את אורכי הנתונים המועברים ל- pkeyutl
וליצירת המבנים המרכיבים את החתימה (למשל DigestInfo ב-RSASSA
חתימות PKCS#1 v1.5). במקרה של חתימות RSA, ECDSA ו-DSA, כלי זה לא יעשה זאת
בצע hashing על נתוני קלט, אלא השתמש בנתונים ישירות כקלט של חתימה
אַלגוֹרִיתְם. בהתאם לסוג המפתח, סוג החתימה ומצב הריפוד, המקסימום
אורכים מקובלים של נתוני קלט שונים. באופן כללי, עם RSA הנתונים החתומים לא יכולים להיות
ארוך ממודול המפתח, במקרה של ECDSA ו-DSA הנתונים לא צריכים להיות ארוכים מ
גודל השדה, אחרת הוא יקוצץ בשקט לגודל השדה.
במילים אחרות, אם הערך של עיכול הוא sha1 הקלט צריך להיות בינארי באורך 20 בתים
קידוד של פלט פונקציית Hash SHA-1.
RSA אַלגוֹרִיתְם
אלגוריתם RSA תומך בפעולות הצפנה, פענוח, חתימה, אימות ואימות שחזור ב
כללי. עם זאת, חלק ממצבי הריפוד תומכים רק בחלק מהפעולות הללו.
-rsa_padding_mode:mode
זה מגדיר את מצב ריפוד RSA. ערכים מקובלים עבור מצב יש לו 1 עבור PKCS#1
ריפוד, sslv23 עבור ריפוד SSLv23, אף לא אחד ללא ריפוד, אוף ל OAEP מצב, x931 ל
מצב X9.31 ו pss עבור PSS.
בריפוד PKCS#1 אם תקציר ההודעות אינו מוגדר, הנתונים שסופקו חתומים או
מאומת ישירות במקום להשתמש ב-a DigestInfo מִבְנֶה. אם מוגדר תקציר אזי
a DigestInfo נעשה שימוש במבנה והאורך שלו חייב להתאים לסוג העיכול.
בעד אוף מצב רק הצפנה ופענוח נתמכים.
בעד x931 אם סוג התקציר מוגדר הוא משמש לעיצוב נתוני הבלוק אחרת
הבית הראשון משמש לציון מזהה התקציר X9.31. לחתום, לאמת ולאמת שחזור הם
ניתן לבצע במצב זה.
בעד pss מצב רק סימן ואימות נתמכים ויש לציין את סוג התקציר.
rsa_pss_saltlen:len
בעד pss מצב רק אפשרות זו מציינת את אורך המלח. שני ערכים מיוחדים הם
נתמך: -1 קובע את אורך המלח לאורך העיכול. כשחותמים -2 קובע את המלח
אורך עד לערך המרבי המותר. כאשר אימות -2 גורם לאורך המלח
ייקבע אוטומטית על סמך ה PSS מבנה בלוקים.
DSA אַלגוֹרִיתְם
אלגוריתם DSA תומך בפעולות חתימה ואימות בלבד. כרגע יש
אין אפשרויות נוספות מלבד לְעַכֵּל. ניתן להשתמש רק בעיכול SHA1 ובעיכול זה
מונחה כברירת מחדל.
DH אַלגוֹרִיתְם
אלגוריתם DH תומך רק בפעולת הגזירה וללא אפשרויות נוספות.
EC אַלגוֹרִיתְם
אלגוריתם ה-EC תומך בפעולות סימן, אימות והפקה. סימן ואמת
פעולות משתמשות ב-ECDSA ומפיקות שימוש ב-ECDH. כרגע אין אפשרויות נוספות אחרות
מֵאֲשֶׁר לְעַכֵּל. ניתן להשתמש רק בתמצית SHA1 והנחה זו כברירת מחדל.
דוגמאות
חתום על כמה נתונים באמצעות מפתח פרטי:
openssl pkeyutl -כניסה -קובץ -inkey key.pem -out sig
שחזר את הנתונים החתומים (למשל אם נעשה שימוש במפתח RSA):
openssl pkeyutl -verifyrecover -in sig -inkey key.pem
אמת את החתימה (למשל מפתח DSA):
openssl pkeyutl -אימות -בקובץ -sigfile sig -inkey key.pem
חתום על נתונים באמצעות ערך תקציר הודעות (זה תקף כרגע רק עבור RSA):
openssl pkeyutl -כניסה -קובץ -inkey key.pem -out sig -pkeyopt digest:sha256
הפקת ערך סודי משותף:
openssl pkeyutl -נגזר -inkey key.pem -peerkey pubkey.pem -out סוד
השתמש ב-pkeyutlssl באינטרנט באמצעות שירותי onworks.net