ruby-on-rails - ruby open ssl api for encrypted key (without nodes option)

Question

在安装了 openssl lib 的 linux 机器上，当您执行带有“-nodes”选项的“openssl pkcs12”时，您将获得带有未加密私钥的输出，但如果您跳过 –nodes 选项，则输出将具有加密的私钥。

     e.g.
             openssl pkcs12 -in test.pfx -out test.pem 

你应该看到像下面这样加密的私钥

-----BEGIN ENCRYPTED PRIVATE KEY-----
MIIFDjBABgkqhkiGG7s=
-----END ENCRYPTED PRIVATE KEY-----

如何使用 ruby​​ 的开放 ssl 库实现上述目标？

这就是我用 ruby​​ 生成私钥的方式:

    @private_key = OpenSSL::PKey::RSA.new 2048
    @private_key.to_pem.to_s

编辑:

我想我的问题是这个命令是如何加密私钥的:

openssl pkcs12 -in test.pfx -out test.pem

鉴于:

“openssl pkcs12 -nodes -in test.pfx -out test.pem"

没有。我如何使用 ruby​​ 获得相同的结果？

Answer 1

这一定有更多的东西。也许这个问题需要细化。据我所知，您想以 PEM 格式打印私钥。我不是 ruby 程序员，但我得到了 this阅读 ruby-docs.org 上的文章，大约 3 分钟即可完成工作:

$ cat ssl.rb 
require 'openssl'
key = OpenSSL::PKey::RSA.new 2048
cipher = OpenSSL::Cipher.new 'AES-128-CBC'
pass_phrase = 'my secure pass phrase goes here'
key_secure = key.export cipher, pass_phrase
puts key_secure

选择你的密码和你的密码，瞧，你已经用对称密码加密了一个 key :

$ ruby ssl.rb
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-128-CBC,D8062F93C8854E593602D503E1FAC309

UsNQt/Bq7QBldOBU7NW6miCDuC+ODpeplaWQ9BvJW4Wg7j0AbKgMZAn7juegAbjG
JVkpdDNzhs37UVWmqwg64yYP6KEBGg4zCog2a993UHRvFTQb6tyugKHc+uFeyY+D
...
-----END RSA PRIVATE KEY-----

你还有什么想做的吗？

--

编辑:提问者已经澄清问题是关于 openssl pkcs12 在不使用 -nodes 选项时使用哪种加密。

-nodes 选项关闭 DES 加密。 This page表明创建私钥的默认加密是三重 DES，但我没有看到关于哪个 DES 选项的详细信息。 man pkcs12 的手册中也提到了这一点。无论如何，我还不清楚您是否需要确切知道 openssl 使用的是哪种密码，或者您的问题现在是否已得到解答。

您可以像这样列出 ruby​​ 的可用密码:

puts OpenSSL::Cipher.cipher 

(在 the docs 中指定)

在我的系统上，有很多具有不同参数的 DES 密码可用:

des
des-cbc
des-cfb
des-cfb1
des-cfb8
des-ecb
des-ede
des-ede-cbc
des-ede-cfb
des-ede-ofb
des-ede3
des-ede3-cbc
des-ede3-cfb
des-ede3-cfb1
des-ede3-cfb8
des-ede3-ofb
des-ofb
des3
desx
desx-cbc

我不确定 PKCS12 规范是否说明应该使用哪种 DES 密码，或者 openssl 是否只有默认值。您是否想弄清楚 OpenSSL 使用的是哪种 DES 密码？

我通过 openssl wiki 看得更远了一点。并且我在 CBC 模式下找到了对 DES 的引用，所以我猜你正在寻找的密码是 DES-EDE3-CBC。

抱歉，我想您还没有完全清楚您要回答的问题。如果你想做的是在你不使用 -nodes 时找出 openssl 是如何编码私钥的，你可以通过 cat 查看文件到 openssl asn1parse。也许这有帮助:您可以从您的 ruby​​ 程序中获得的纯文本形式的 rsa 私钥开始:

$ cat key.pem
-----BEGIN RSA PRIVATE KEY-----
MIIEpA....
-----END RSA PRIVATE KEY
$ cat key.pem | openssl asn1parse
    0:d=0  hl=4 l=1188 cons: SEQUENCE          
4:d=1  hl=2 l=   1 prim: INTEGER           :00
7:d=1  hl=4 l= 257 prim: INTEGER       ...

您会看到它被编码为 ASN1 SEQUENCE长整数。

但是，如果您将 key 放入 pkcs12 的往返过程中:

$ openssl pkcs12 -inkey key.pem -out key.pfx -export -nocerts -nodes
(choose a password)
$ openssl pkcs12 -in key.pfx -out outkey.pem -nodes
(enter password)

您会发现您的 key 现在包含在一个新结构中，您可以将其转换为 asn1parse:

cat keyout.pem | openssl asn1parse
    0:d=0  hl=4 l=1214 cons: SEQUENCE          
    4:d=1  hl=2 l=   1 prim: INTEGER           :00
    7:d=1  hl=2 l=  13 cons: SEQUENCE          
    9:d=2  hl=2 l=   9 prim: OBJECT            :rsaEncryption

您现在拥有一个 ASN1 rsaEncryption 对象，其中包含一个大八位字节字符串的有效负载。

这就是您要了解的内容吗？这些值如何封装在 ASN1 中？