模块 OpenSSL::PKey
非对称公钥算法¶ ↑
非对称公钥算法解决了建立和共享用于加密/解密消息的密钥的问题。此类算法中的密钥由两部分组成:可以分发给其他人的公钥和需要保密的私钥。
使用公钥加密的消息只能由拥有相关私钥的接收者解密。由于公钥算法比对称密钥算法(参见 OpenSSL::Cipher)慢得多,因此它们通常用于在拥有彼此公钥的双方之间建立对称密钥。
非对称算法提供了许多在许多不同领域中使用的优秀功能。一个非常常见的应用是创建和验证数字签名。要签署文档,签名者通常使用消息摘要算法(参见 OpenSSL::Digest)来计算文档的摘要,然后使用私钥对其进行加密(即签名)。任何拥有公钥的人都可以通过自己计算原始文档的消息摘要,使用签名者的公钥解密签名,并将结果与他们之前计算的消息摘要进行比较来验证签名。签名有效当且仅当解密后的签名等于此消息摘要。
该 PKey 模块支持三种流行的公钥/私钥算法
-
椭圆曲线密码学 (
OpenSSL::PKey::EC)
这些实现中的每一个实际上都是抽象类的子类 PKey 类,它提供用于以 PKey#sign 和 PKey#verify 的形式支持数字签名的接口。
Diffie-Hellman 密钥交换¶ ↑
最后 PKey 还具有 OpenSSL::PKey::DH,这是基于有限域中离散对数的 Diffie-Hellman 密钥交换协议的实现,与 DSA 的基础相同。Diffie-Hellman 协议可用于在不事先需要参与方之间任何共同知识的情况下,通过不安全信道交换(对称)密钥。由于 DH 的安全性要求相对较长的“公钥”(即在参与方之间公开传输的部分),因此 DH 往往相当慢。如果安全性或速度是您的主要关注点,OpenSSL::PKey::EC 提供了 Diffie-Hellman 协议的另一种实现。
公共类方法
生成一个新的密钥(对)。
如果第一个参数是 String,它将为由名称指定的算法生成一个新的随机密钥,就像 ::generate_parameters 一样。如果改为给出 OpenSSL::PKey::PKey,它将为与密钥相同的算法生成一个新的随机密钥,使用密钥包含的参数。
有关选项和给定块的详细信息,请参见 ::generate_parameters。
示例¶ ↑
pkey_params = OpenSSL::PKey.generate_parameters("DSA", "dsa_paramgen_bits" => 2048) pkey_params.priv_key #=> nil pkey = OpenSSL::PKey.generate_key(pkey_params) pkey.priv_key #=> #<OpenSSL::BN 6277...
static VALUE
ossl_pkey_s_generate_key(int argc, VALUE *argv, VALUE self)
{
return pkey_generate(argc, argv, self, 0);
}
为算法生成新的参数。algo_name 是一个 String,表示算法。可选参数options 是一个 Hash,指定特定于算法的选项。选项的顺序可能很重要。
可以选择传递一个块。传递给块的参数的含义取决于算法的实现。该块可以调用一次或多次,甚至可能根本不调用。
有关支持的选项,请参见“openssl genpkey”实用程序命令的文档。
示例¶ ↑
pkey = OpenSSL::PKey.generate_parameters("DSA", "dsa_paramgen_bits" => 2048) p pkey.p.num_bits #=> 2048
static VALUE
ossl_pkey_s_generate_parameters(int argc, VALUE *argv, VALUE self)
{
return pkey_generate(argc, argv, self, 1);
}
参见 OpenSSL 文档以获取 EVP_PKEY_new_raw_private_key()
static VALUE
ossl_pkey_new_raw_private_key(VALUE self, VALUE type, VALUE key)
{
EVP_PKEY *pkey;
const EVP_PKEY_ASN1_METHOD *ameth;
int pkey_id;
size_t keylen;
StringValue(type);
StringValue(key);
ameth = EVP_PKEY_asn1_find_str(NULL, RSTRING_PTR(type), RSTRING_LENINT(type));
if (!ameth)
ossl_raise(ePKeyError, "algorithm %"PRIsVALUE" not found", type);
EVP_PKEY_asn1_get0_info(&pkey_id, NULL, NULL, NULL, NULL, ameth);
keylen = RSTRING_LEN(key);
pkey = EVP_PKEY_new_raw_private_key(pkey_id, NULL, (unsigned char *)RSTRING_PTR(key), keylen);
if (!pkey)
ossl_raise(ePKeyError, "EVP_PKEY_new_raw_private_key");
return ossl_pkey_new(pkey);
}
参见 OpenSSL 文档以获取 EVP_PKEY_new_raw_public_key()
static VALUE
ossl_pkey_new_raw_public_key(VALUE self, VALUE type, VALUE key)
{
EVP_PKEY *pkey;
const EVP_PKEY_ASN1_METHOD *ameth;
int pkey_id;
size_t keylen;
StringValue(type);
StringValue(key);
ameth = EVP_PKEY_asn1_find_str(NULL, RSTRING_PTR(type), RSTRING_LENINT(type));
if (!ameth)
ossl_raise(ePKeyError, "algorithm %"PRIsVALUE" not found", type);
EVP_PKEY_asn1_get0_info(&pkey_id, NULL, NULL, NULL, NULL, ameth);
keylen = RSTRING_LEN(key);
pkey = EVP_PKEY_new_raw_public_key(pkey_id, NULL, (unsigned char *)RSTRING_PTR(key), keylen);
if (!pkey)
ossl_raise(ePKeyError, "EVP_PKEY_new_raw_public_key");
return ossl_pkey_new(pkey);
}
从string 或io 中读取 DER 或 PEM 编码的字符串,并返回相应 PKey 类的实例。
参数¶ ↑
-
string 是一个 DER 或 PEM 编码的字符串,包含任意私钥或公钥。
-
io 是
IO的实例,包含 DER 或 PEM 编码的任意私钥或公钥。 -
pwd 是一个可选密码,以防string 或io 是加密的 PEM 资源。
static VALUE
ossl_pkey_new_from_data(int argc, VALUE *argv, VALUE self)
{
EVP_PKEY *pkey;
BIO *bio;
VALUE data, pass;
rb_scan_args(argc, argv, "11", &data, &pass);
bio = ossl_obj2bio(&data);
pkey = ossl_pkey_read_generic(bio, ossl_pem_passwd_value(pass));
BIO_free(bio);
if (!pkey)
ossl_raise(ePKeyError, "Could not parse PKey");
return ossl_pkey_new(pkey);
}