模块 OpenSSL::PKey
非对称公钥算法¶ ↑
非对称公钥算法解决了建立和共享用于加密/解密消息的密钥的问题。这种算法中的密钥由两部分组成:可以分发给其他人的公钥和需要保密的私钥。
使用公钥加密的消息只能由拥有相关私钥的接收者解密。由于公钥算法比对称密钥算法(参见 OpenSSL::Cipher)慢得多,因此它们通常用于在拥有彼此公钥的双方之间建立对称密钥。
非对称算法提供了许多在许多不同领域中使用的优秀功能。一个非常常见的应用是创建和验证数字签名。为了签署文档,签名者通常使用消息摘要算法(参见 OpenSSL::Digest)来计算文档的摘要,然后使用私钥对其进行加密(即签名)。任何拥有公钥的人都可以通过自行计算原始文档的消息摘要,使用签名者的公钥解密签名并将结果与他们之前计算的消息摘要进行比较来验证签名。签名有效当且仅当解密后的签名等于此消息摘要。
PKey 模块支持三种流行的公钥/私钥算法
-
椭圆曲线密码学 (
OpenSSL::PKey::EC)
这些实现实际上都是抽象类 PKey 的子类,该类提供接口以 PKey#sign 和 PKey#verify 的形式支持数字签名。
Diffie-Hellman 密钥交换¶ ↑
最后,PKey 还包含 OpenSSL::PKey::DH,这是基于有限域中离散对数的 Diffie-Hellman 密钥交换协议的实现,与 DSA 的基础相同。Diffie-Hellman 协议可用于在不安全的通道上交换(对称)密钥,而无需参与方之间有任何先前的共同知识。由于 DH 的安全性要求相对较长的“公钥”(即在参与方之间公开传输的部分),因此 DH 往往速度很慢。如果安全性或速度是您的首要考虑因素,OpenSSL::PKey::EC 提供了 Diffie-Hellman 协议的另一种实现。
公共类方法
生成一个新的密钥(对)。
如果第一个参数是字符串,它将为由名称指定的算法生成一个新的随机密钥,就像 ::generate_parameters 一样。如果改为提供 OpenSSL::PKey::PKey,它将为与密钥相同的算法生成一个新的随机密钥,使用密钥包含的参数。
有关 options 和给定块的详细信息,请参阅 ::generate_parameters。
示例¶ ↑
pkey_params = OpenSSL::PKey.generate_parameters("DSA", "dsa_paramgen_bits" => 2048) pkey_params.priv_key #=> nil pkey = OpenSSL::PKey.generate_key(pkey_params) pkey.priv_key #=> #<OpenSSL::BN 6277...
static VALUE
ossl_pkey_s_generate_key(int argc, VALUE *argv, VALUE self)
{
return pkey_generate(argc, argv, self, 0);
}
为算法生成新的参数。algo_name 是一个表示算法的字符串。可选参数 options 是一个哈希,它指定特定于算法的选项。选项的顺序可能很重要。
可以可选地传递一个块。传递给块的参数的含义取决于算法的实现。块可以调用一次或多次,甚至可能根本不调用。
有关支持的选项,请参阅“openssl genpkey”实用程序命令的文档。
示例¶ ↑
pkey = OpenSSL::PKey.generate_parameters("DSA", "dsa_paramgen_bits" => 2048) p pkey.p.num_bits #=> 2048
static VALUE
ossl_pkey_s_generate_parameters(int argc, VALUE *argv, VALUE self)
{
return pkey_generate(argc, argv, self, 1);
}
请参阅 OpenSSL 文档以了解 EVP_PKEY_new_raw_private_key()。
static VALUE
ossl_pkey_new_raw_private_key(VALUE self, VALUE type, VALUE key)
{
EVP_PKEY *pkey;
const EVP_PKEY_ASN1_METHOD *ameth;
int pkey_id;
size_t keylen;
StringValue(type);
StringValue(key);
ameth = EVP_PKEY_asn1_find_str(NULL, RSTRING_PTR(type), RSTRING_LENINT(type));
if (!ameth)
ossl_raise(ePKeyError, "algorithm %"PRIsVALUE" not found", type);
EVP_PKEY_asn1_get0_info(&pkey_id, NULL, NULL, NULL, NULL, ameth);
keylen = RSTRING_LEN(key);
pkey = EVP_PKEY_new_raw_private_key(pkey_id, NULL, (unsigned char *)RSTRING_PTR(key), keylen);
if (!pkey)
ossl_raise(ePKeyError, "EVP_PKEY_new_raw_private_key");
return ossl_pkey_new(pkey);
}
请参阅 OpenSSL 文档以了解 EVP_PKEY_new_raw_public_key()。
static VALUE
ossl_pkey_new_raw_public_key(VALUE self, VALUE type, VALUE key)
{
EVP_PKEY *pkey;
const EVP_PKEY_ASN1_METHOD *ameth;
int pkey_id;
size_t keylen;
StringValue(type);
StringValue(key);
ameth = EVP_PKEY_asn1_find_str(NULL, RSTRING_PTR(type), RSTRING_LENINT(type));
if (!ameth)
ossl_raise(ePKeyError, "algorithm %"PRIsVALUE" not found", type);
EVP_PKEY_asn1_get0_info(&pkey_id, NULL, NULL, NULL, NULL, ameth);
keylen = RSTRING_LEN(key);
pkey = EVP_PKEY_new_raw_public_key(pkey_id, NULL, (unsigned char *)RSTRING_PTR(key), keylen);
if (!pkey)
ossl_raise(ePKeyError, "EVP_PKEY_new_raw_public_key");
return ossl_pkey_new(pkey);
}
从string或io读取 DER 或 PEM 编码的字符串,并返回相应的 PKey 类实例。
参数¶ ↑
-
string 是一个 DER 或 PEM 编码的字符串,包含任意私钥或公钥。
-
io 是
IO的实例,包含 DER 或 PEM 编码的任意私钥或公钥。 -
pwd 是可选密码,用于string或io是加密的 PEM 资源的情况。
static VALUE
ossl_pkey_new_from_data(int argc, VALUE *argv, VALUE self)
{
EVP_PKEY *pkey;
BIO *bio;
VALUE data, pass;
rb_scan_args(argc, argv, "11", &data, &pass);
bio = ossl_obj2bio(&data);
pkey = ossl_pkey_read_generic(bio, ossl_pem_passwd_value(pass));
BIO_free(bio);
if (!pkey)
ossl_raise(ePKeyError, "Could not parse PKey");
return ossl_pkey_new(pkey);
}