使用OpenSSL生成非对称密钥
非对称加密算法也叫<公开密钥算法>,不同于对称加密算法,非对称加密算法加密密钥与解密密钥不是一把密钥、非对称密钥对中公钥是可以公开的。
这种算法如果使用公钥进行加密,则只能使用相应的私钥解密;如使用私钥加密,也只能使用相应的公钥解密。而要想通过公钥推导出私钥几乎是不可能的(这样的算法可以使用一些不可逆函数实现)!
OpenSSL支持RSA、DSA、DH三种不同的非对称加密算法。下面我们将介绍如何使用OpenSSL生成并学习使用RSA密钥对。
RSA非对称加密:
一、生成RSA密钥对(opensll genrsa):
1.语法说明:
usage: genrsa [args] [numbits]
-des encrypt the generated key with DES in cbc mode(使用des加密算法加密RSA密钥对)
-des3 encrypt the generated key with DES in ede cbc mode (168 bit key) (使用des3加密算法加密RSA密钥对)
-aes128, -aes192, -aes256
encrypt PEM output with cbc aes (使用aes加密算法加密RSA密钥对)
-out file output the key to 'file(输出密钥对文件)
-passout arg output file pass phrase source (输出密钥文件的口令)
-f4 use F4 (0x10001) for the E value (使用F4作为公钥的E参数,默认为该选项)
-3 use 3 for the E value (使用3作为公钥的E参数)
-engine e use engine e, possibly a hardware device. (使用第三方设备生成密钥对)
-rand file:file:... (手动指定随机数文件)
load the file (or the files in the directory) into
the random number generator
2.案例:
(1)openssl genrsa -out rsakey.pem 2048
生成一个2048位的密钥对,注:没有对密钥进行加密操作。
(2)openssl genrsa -aes128 -out rsakey.pem -passout pass:111111 2048
生成一份2048位的密钥对,并对密钥对使用aes算法加密,密钥口令为111111
说明:openssl生成的公钥与私钥默认被存放在一个文件中,当需要提取公钥或私钥时需要使用rsa命令,她可以用来管理密钥文件。
二、管理密钥文件
1.语法说明:
rsa [options] <infile >outfile
where options are
-inform arg input format - one of DER NET PEM (输入的密钥编码格式,可以是DER、NET、PEM中的一个,默认为PEM)
-outform arg output format - one of DER NET PEM (输出的密钥编码格式)
-in arg input file (输入的密钥文件名称)
-sgckey Use IIS SGC key format (使用SGC格式,一般很少用到)
-passin arg input file pass phrase source (输入密钥文件时提供的密钥文件口令)
-out arg output file (输出的密钥文件名)
-passout arg output file pass phrase source (输出密钥文件时的口令)
-des encrypt PEM output with cbc des (使用des算法对密钥进行加密)
-des3 encrypt PEM output with ede cbc des using 168 bit key (使用des3算法对密钥进行加密)
-aes128, -aes192, -aes256
encrypt PEM output with cbc aes (使用aes算法对密钥进行加密)
-text print the key in text (明文输出密钥参数)
-noout don't print key out (不输出密钥到文件)
-modulus print the RSA key modulus (输出RSA密钥模值)
-check verify key consistency
-pubin expect a public key in input file (默认输入的是密钥对的私钥,使用pubin输入的是密钥的公钥)
-pubout output a public key (输出公钥到文件)
-engine e use engine e, possibly a hardware device. (使用第三方设备)
2.案例:
openssl rsa -in <filename> -out <filename> -pubout -des3
输入一个密钥文件,提起其中的公钥文件,并使用des3算法加密公钥文件。
(注:filename为密钥文件名,实际使用时使用自己的文件名替换,而且实际应用中不会对公钥进行加密,这里仅为演示案例)
三、使用密钥
1.语法说明:
Usage: rsautl [options]
-in file input file (输入准备要进行加密或解密的文件)
-out file output file (输出加密或解密后的文件)
-inkey file input key (输入密钥文件)
-keyform arg private key format - default PEM (指定密钥文件格式)
-pubin input is an RSA public (说明输入的是公钥)
-certin input is a certificate carrying an RSA public key (指明输入的是一个证书)
-ssl use SSL v2 padding (数据补齐方式,默认是pkcs)
-raw use no padding (数据补齐方式,默认是pkcs)
-pkcs use PKCS#1 v1.5 padding (default) (数据补齐方式,默认是pkcs)
-oaep use PKCS#1 OAEP (数据补齐方式,默认是pkcs)
-sign sign with private key (进行数字签名,即使有私钥加密)
-verify verify with public key (进行数字签名验证,即使有公钥解密)
-encrypt encrypt with public key (进行解密操作)
-decrypt decrypt with private key (进行解密操作)
-hexdump hex dump output (输出十六进制格式)
-engine e use engine e, possibly a hardware device.
-passin arg pass phrase source (口令参数)
注:使用RSA进行加密操作时,要求被加密的数据长度与RSA密钥长度一致,但数据大小是不定的,所以当文件数据小于RSA密钥长度时会采用数据补齐,当被加密的文件大于密钥长度时,会被先切割为等长大小的数据块,进行加密操作。
2.案例:
1.openssl rsautl -in install.log -out bak.log inkey rsakey.pem -pubin -encrypt
使用我们上面案例中生成的rsakey.pem密钥对<install.log>这个文件进行加密,因为使用了pubin选项,所以使用的是公钥加密。
2.openssl rsautl -in bak.log -out install.log -inkey rsakey.pem -decrypt
使用rsakey.pem密钥中的私钥对<bak.log>文件进行解密。
注:实际应用中很少会使用非对称加密算法对大的文件进行加密操作,而是使用对称加密算法加密文件,然后再使用<非对称加密算法>对<对称算法的密钥>进行加密。