使用 OpenSSL 生成密钥对
Using OpenSSL to Generate KeyPairs
我正在使用 delphiopenssl wrapper to generate .pem format key files. I'm using Generate RSA Key example 生成这些密钥。
我需要的
两天前,我希望找到一种简单的方法来生成 RSA 密钥并将它们用于 encrypt/dcrypt 一些字符串或 TBytes 缓冲区。
现在,在搜索了所有可能的解决方案后,我决定使用 OpenSSL 来完成这项工作
我的问题
问题是我无法使用输入的文件名创建文件到函数中。但是我仍然得到一个名为 'C' 或 'm'(没有扩展名)的文件,其中包含 PEM 格式的 public 和私钥,更奇怪的是我给函数两个Public 和私钥
的文件名
我试过的
- 我查找了所用 openssl 方法的文档,因此我知道如何调试它,但没有成功。
- 我尝试使用 Openssl.exe 命令行来做同样的事情并且它起作用了所以我知道这不是 openssl 中的错误。
- 起初我无法编译代码,因为
[dcc32 Error] CryptoUtils.pas(399): E2010 Incompatible types: 'PAnsiChar' and 'PWideChar',我的解决方案是在需要的地方强制转换为 PAnsiChar,并确保所有输入都是 ansistring,这样我就可以尝试使用非 Unicode测试但没有成功。
- 当我调试这个文件的名称到达函数调用时我得到 0 作为结果(在模糊的文档中 0 意味着成功)但我总是得到相同的结果(C 或 M 文件名在输出目录中)。
- 我试图通过文档寻找其他语言的其他实现,但同样没有真正的解决方案,每个人都神奇地解决了它而没有问题
这是负责的代码
procedure GenerateKeyPair;
var
kp: TKeyPairGenerator;
begin
kp := TKeyPairGenerator.Create;
kp.KeyFileNames(GetCurrentDir + '\mykeys'); // it create a pair c:\temp\mykeys.key
// and c:\temp\mykeys.pub
kp.Password := 'mypasswd'; // Required
kp.GenerateRSA;
end;
procedure TMainForm.Button2Click(Sender: TObject);
begin
InitOpenSSL;
GenerateKeyPair;
FreeOpenSSL;
end;
function TKeyPairGenerator.GenerateRSA: Integer;
var
rsa: pRSA;
PrivateKeyOut, PublicKeyOut, ErrMsg: pBIO;
buff: array [0..1023] of char;
enc: pEVP_CIPHER;
begin
Result := 0;
if (fPrivateKeyFile = '') or (fPublicKeyFile = '') then
raise EOpenSSL.Create('Key filenames must be specified.');
if (fPassword = '') then
raise EOpenSSL.Create('A password must be specified.');
ERR_load_crypto_strings;
OpenSSL_add_all_ciphers;
enc := EVP_des_ede3_cbc; ///??????
// Load a pseudo random file
RAND_load_file(PAnsiChar(fSeedFile), -1);
rsa := RSA_generate_key(fKeyLength, RSA_F4, nil, ErrMsg);
if rsa=nil then
begin
BIO_reset(ErrMsg);
BIO_read(ErrMsg, @buff, 1024);
raise EOpenSSL.Create(PChar(@buff));
end;
PrivateKeyOut := BIO_new(BIO_s_file());
if BIO_write_filename(PrivateKeyOut, PAnsiChar(fPrivateKeyFile)) <> 0 then Result := - 1; // I get a 1 here meaning failure whit out any useful info
PublicKeyOut := BIO_new(BIO_s_file());
if BIO_write_filename(PublicKeyOut, PAnsiChar(fPublicKeyFile)) <> 0 then Result := ERR_peek_last_error; // ERR_peek_last_error returns 0
PEM_write_bio_RSAPrivateKey(PrivateKeyOut, rsa, enc, nil, 0, nil, PChar(fPassword));
PEM_write_bio_RSAPublicKey(PublicKeyOut, rsa);
if rsa <> nil then RSA_free(rsa);
if PrivateKeyOut <> nil then BIO_free_all(PrivateKeyOut);
if PublicKeyOut <> nil then BIO_free_all(PublicKeyOut);
end;
这是名为 C
的文件的内容
-----BEGIN RSA PUBLIC KEY-----
MIIBBgKB/gC1aSSL+rlH/owIISeoNNO9mVmlPfWVsnRloFUHlYQMZyVovcTHZZhd
CvweTjMlwRHTqNAnX3CpFSwjcf5FVyiB7qoWQHDXlTSLD4kFQzUfGVTorwuB1jii
Su3tt3GCJE//xE5RWrsAIETuxIk2ZSkf4T0htAu44gBbup7CT4cSOaUeTr6/D9WL
xl+jGCi9d4oG+JkVJ21VHl1O5/UG4HRKiKx+PfNrBZvR4COVzYV6clXv7fd2EZo7
Gbz/d3yUG9jVMuQmbSDA0Ew3vE9iYTIpXeGSM1aZKgkOWqehO7b8yIqhmUbW2Yl5
sydL/xx7WEsQuTqvPST1lkpfdyIpAgMBAAE=
-----END RSA PUBLIC KEY-----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-----END RSA PRIVATE KEY-----
我的问题如何解决这个问题或者是否有任何关于这些方法的文档我可以阅读。
来自 Indy 服务器的 OpenSSL 版本 1.0.2。
旁注: 我提交了一个功能请求 (System.Cryptography),有兴趣为其投票
我通常使用 PEM_write_bio_* API 分别创建 public 和私钥来创建 TBytes。获得 public 的 TBytes 和私钥后,您可以在 System.IOUtils 单元中使用 Delphi 的 TFile.WriteAllBytes() 将 TBytes 保存到文件中。
function CreateCertificate_PKCS(out APublicKey, APrivateKey: TBytes): Boolean;
var
Bignum: PBIGNUM;
RSA: PRSA;
PrivateKey, PublicKey: PBIO;
KeyLength: Integer;
begin
Result := False;
Bignum := BN_new();
try
if BN_set_word(Bignum, RSA_F4) = 1 then
begin
RSA := RSA_new;
try
if RSA_generate_key_ex(RSA, 2048, Bignum, nil) = 1 then
begin
{ Write the public key }
PublicKey := BIO_new(BIO_s_mem);
try
PEM_write_bio_RSAPublicKey(PublicKey, RSA);
KeyLength := BIO_pending(PublicKey);
SetLength(APublicKey, KeyLength);
BIO_read(PublicKey, @APublicKey[0], KeyLength);
finally
BIO_free(PublicKey);
end;
{ Write the private key }
PrivateKey := BIO_new(BIO_s_mem);
try
PEM_write_bio_RSAPrivateKey(PrivateKey, RSA, nil, nil, 0, nil, nil);
KeyLength := BIO_pending(PrivateKey);
SetLength(APrivateKey, KeyLength);
BIO_read(PrivateKey, @APrivateKey[0], KeyLength);
finally
BIO_free(PrivateKey);
end;
Result := True;
end;
finally
RSA_free(RSA);
end;
end;
finally
BN_free(Bignum);
end;
end;
这是我对问题的解决方案
问题: 生成 RSA 密钥对 (public/private),然后从文件、流甚至 TBytes 缓冲区中读取它们。
找到的解决方案:
- 你能找到的第一件事 (google) 是 Delphi 的 Turbo Pack LockBox 但问题是它不支持超过 1048 位的密钥大小(当时写作)远低于当前最小密钥大小(撰写本文时为 2048),因此您可以从可能的解决方案中省略它(尽管它具有我需要的本机实现)。
- CryptoAPI 的包装器。这个想法很漂亮,因为您有机会使用 Microsoft 自己的 Crypto Library,这将使部署更容易(因为它是内置在 OS 中的)。然而,对 Pascal 的支持很少(它是用 C++ 编写的),需要大量的工作来支持和维护,而且它不是跨平台的。
OpenSSL 的包装器。现在这是一个很棒的想法,因为该库已经被一个伟大的开源项目使用 Indy 并且搜索其他开源项目成功的可能性更高
- zizzo81/delphiopenssl 有自己的 OpenSSL 包装器和很棒的演示,但正如问题所述,该源代码中存在一两个问题,我无法 post 关于 [=88= 的问题] 出于一个很好的原因,该项目没有得到维护,它只是从旧站点导入的版本。
- lminuti/Delphi-OpenSSL 基于 Indy Wrappers IdSSLOpenSSLHeaders.pas
并提供该问题的基本特征(encrypt/decrypt 但不生成)。
最终解决方案:
最后我需要在 lminuti/Delphi-OpenSSL 中添加一些内容才能完成,感谢 allen-drennan 对这个问题的回答非常简单。
我还 fork lminuti/Delphi-OpenSSL 来展示这个问题所涉及的更改(fork 包含一个针对这个问题的现成教程)
我发现并修复的错误 基础项目中的当前包装器使用 PEM_read_bio_PubKey to read Public key files in Traditional PEM formats (which is not the standard anymore) also it uses PEM_write_bio_RSAPrivateKey,它也已弃用(我暂时没有修复)
我认为有用的参考资料:
- 包含有关 OpenSSL 的旧文档的 Linux page。
- OpenSSL docs 我仍然说它正在编写和维护中。
- This answer by jww 用 C++ 实现中的代码解释了键的不同格式
- Reading Public Private key from memory with OpenSSl
- C OpenSSL export private key
- 我过去从其他资源中读到的关于密码学的一般信息
我正在使用 delphiopenssl wrapper to generate .pem format key files. I'm using Generate RSA Key example 生成这些密钥。
我需要的
两天前,我希望找到一种简单的方法来生成 RSA 密钥并将它们用于 encrypt/dcrypt 一些字符串或 TBytes 缓冲区。 现在,在搜索了所有可能的解决方案后,我决定使用 OpenSSL 来完成这项工作
我的问题
问题是我无法使用输入的文件名创建文件到函数中。但是我仍然得到一个名为 'C' 或 'm'(没有扩展名)的文件,其中包含 PEM 格式的 public 和私钥,更奇怪的是我给函数两个Public 和私钥
的文件名我试过的
- 我查找了所用 openssl 方法的文档,因此我知道如何调试它,但没有成功。
- 我尝试使用 Openssl.exe 命令行来做同样的事情并且它起作用了所以我知道这不是 openssl 中的错误。
- 起初我无法编译代码,因为
[dcc32 Error] CryptoUtils.pas(399): E2010 Incompatible types: 'PAnsiChar' and 'PWideChar',我的解决方案是在需要的地方强制转换为PAnsiChar,并确保所有输入都是 ansistring,这样我就可以尝试使用非 Unicode测试但没有成功。 - 当我调试这个文件的名称到达函数调用时我得到 0 作为结果(在模糊的文档中 0 意味着成功)但我总是得到相同的结果(C 或 M 文件名在输出目录中)。
- 我试图通过文档寻找其他语言的其他实现,但同样没有真正的解决方案,每个人都神奇地解决了它而没有问题
这是负责的代码
procedure GenerateKeyPair;
var
kp: TKeyPairGenerator;
begin
kp := TKeyPairGenerator.Create;
kp.KeyFileNames(GetCurrentDir + '\mykeys'); // it create a pair c:\temp\mykeys.key
// and c:\temp\mykeys.pub
kp.Password := 'mypasswd'; // Required
kp.GenerateRSA;
end;
procedure TMainForm.Button2Click(Sender: TObject);
begin
InitOpenSSL;
GenerateKeyPair;
FreeOpenSSL;
end;
function TKeyPairGenerator.GenerateRSA: Integer;
var
rsa: pRSA;
PrivateKeyOut, PublicKeyOut, ErrMsg: pBIO;
buff: array [0..1023] of char;
enc: pEVP_CIPHER;
begin
Result := 0;
if (fPrivateKeyFile = '') or (fPublicKeyFile = '') then
raise EOpenSSL.Create('Key filenames must be specified.');
if (fPassword = '') then
raise EOpenSSL.Create('A password must be specified.');
ERR_load_crypto_strings;
OpenSSL_add_all_ciphers;
enc := EVP_des_ede3_cbc; ///??????
// Load a pseudo random file
RAND_load_file(PAnsiChar(fSeedFile), -1);
rsa := RSA_generate_key(fKeyLength, RSA_F4, nil, ErrMsg);
if rsa=nil then
begin
BIO_reset(ErrMsg);
BIO_read(ErrMsg, @buff, 1024);
raise EOpenSSL.Create(PChar(@buff));
end;
PrivateKeyOut := BIO_new(BIO_s_file());
if BIO_write_filename(PrivateKeyOut, PAnsiChar(fPrivateKeyFile)) <> 0 then Result := - 1; // I get a 1 here meaning failure whit out any useful info
PublicKeyOut := BIO_new(BIO_s_file());
if BIO_write_filename(PublicKeyOut, PAnsiChar(fPublicKeyFile)) <> 0 then Result := ERR_peek_last_error; // ERR_peek_last_error returns 0
PEM_write_bio_RSAPrivateKey(PrivateKeyOut, rsa, enc, nil, 0, nil, PChar(fPassword));
PEM_write_bio_RSAPublicKey(PublicKeyOut, rsa);
if rsa <> nil then RSA_free(rsa);
if PrivateKeyOut <> nil then BIO_free_all(PrivateKeyOut);
if PublicKeyOut <> nil then BIO_free_all(PublicKeyOut);
end;
这是名为 C
-----BEGIN RSA PUBLIC KEY-----
MIIBBgKB/gC1aSSL+rlH/owIISeoNNO9mVmlPfWVsnRloFUHlYQMZyVovcTHZZhd
CvweTjMlwRHTqNAnX3CpFSwjcf5FVyiB7qoWQHDXlTSLD4kFQzUfGVTorwuB1jii
Su3tt3GCJE//xE5RWrsAIETuxIk2ZSkf4T0htAu44gBbup7CT4cSOaUeTr6/D9WL
xl+jGCi9d4oG+JkVJ21VHl1O5/UG4HRKiKx+PfNrBZvR4COVzYV6clXv7fd2EZo7
Gbz/d3yUG9jVMuQmbSDA0Ew3vE9iYTIpXeGSM1aZKgkOWqehO7b8yIqhmUbW2Yl5
sydL/xx7WEsQuTqvPST1lkpfdyIpAgMBAAE=
-----END RSA PUBLIC KEY-----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-----END RSA PRIVATE KEY-----
我的问题如何解决这个问题或者是否有任何关于这些方法的文档我可以阅读。
来自 Indy 服务器的 OpenSSL 版本 1.0.2。
旁注: 我提交了一个功能请求 (System.Cryptography),有兴趣为其投票
我通常使用 PEM_write_bio_* API 分别创建 public 和私钥来创建 TBytes。获得 public 的 TBytes 和私钥后,您可以在 System.IOUtils 单元中使用 Delphi 的 TFile.WriteAllBytes() 将 TBytes 保存到文件中。
function CreateCertificate_PKCS(out APublicKey, APrivateKey: TBytes): Boolean;
var
Bignum: PBIGNUM;
RSA: PRSA;
PrivateKey, PublicKey: PBIO;
KeyLength: Integer;
begin
Result := False;
Bignum := BN_new();
try
if BN_set_word(Bignum, RSA_F4) = 1 then
begin
RSA := RSA_new;
try
if RSA_generate_key_ex(RSA, 2048, Bignum, nil) = 1 then
begin
{ Write the public key }
PublicKey := BIO_new(BIO_s_mem);
try
PEM_write_bio_RSAPublicKey(PublicKey, RSA);
KeyLength := BIO_pending(PublicKey);
SetLength(APublicKey, KeyLength);
BIO_read(PublicKey, @APublicKey[0], KeyLength);
finally
BIO_free(PublicKey);
end;
{ Write the private key }
PrivateKey := BIO_new(BIO_s_mem);
try
PEM_write_bio_RSAPrivateKey(PrivateKey, RSA, nil, nil, 0, nil, nil);
KeyLength := BIO_pending(PrivateKey);
SetLength(APrivateKey, KeyLength);
BIO_read(PrivateKey, @APrivateKey[0], KeyLength);
finally
BIO_free(PrivateKey);
end;
Result := True;
end;
finally
RSA_free(RSA);
end;
end;
finally
BN_free(Bignum);
end;
end;
这是我对问题的解决方案
问题: 生成 RSA 密钥对 (public/private),然后从文件、流甚至 TBytes 缓冲区中读取它们。
找到的解决方案:
- 你能找到的第一件事 (google) 是 Delphi 的 Turbo Pack LockBox 但问题是它不支持超过 1048 位的密钥大小(当时写作)远低于当前最小密钥大小(撰写本文时为 2048),因此您可以从可能的解决方案中省略它(尽管它具有我需要的本机实现)。
- CryptoAPI 的包装器。这个想法很漂亮,因为您有机会使用 Microsoft 自己的 Crypto Library,这将使部署更容易(因为它是内置在 OS 中的)。然而,对 Pascal 的支持很少(它是用 C++ 编写的),需要大量的工作来支持和维护,而且它不是跨平台的。
OpenSSL 的包装器。现在这是一个很棒的想法,因为该库已经被一个伟大的开源项目使用 Indy 并且搜索其他开源项目成功的可能性更高
- zizzo81/delphiopenssl 有自己的 OpenSSL 包装器和很棒的演示,但正如问题所述,该源代码中存在一两个问题,我无法 post 关于 [=88= 的问题] 出于一个很好的原因,该项目没有得到维护,它只是从旧站点导入的版本。
- lminuti/Delphi-OpenSSL 基于 Indy Wrappers IdSSLOpenSSLHeaders.pas 并提供该问题的基本特征(encrypt/decrypt 但不生成)。
最终解决方案:
最后我需要在 lminuti/Delphi-OpenSSL 中添加一些内容才能完成,感谢 allen-drennan 对这个问题的回答非常简单。
我还 fork lminuti/Delphi-OpenSSL 来展示这个问题所涉及的更改(fork 包含一个针对这个问题的现成教程)
我发现并修复的错误 基础项目中的当前包装器使用 PEM_read_bio_PubKey to read Public key files in Traditional PEM formats (which is not the standard anymore) also it uses PEM_write_bio_RSAPrivateKey,它也已弃用(我暂时没有修复)
我认为有用的参考资料:
- 包含有关 OpenSSL 的旧文档的 Linux page。
- OpenSSL docs 我仍然说它正在编写和维护中。
- This answer by jww 用 C++ 实现中的代码解释了键的不同格式
- Reading Public Private key from memory with OpenSSl
- C OpenSSL export private key
- 我过去从其他资源中读到的关于密码学的一般信息