使用 LockBox 读取 PEM 格式的私钥答案

【问题标题】：Reading Private Key in PEM format with LockBox使用 LockBox 读取 PEM 格式的私钥
【发布时间】：2009-11-23 02:11:33
【问题描述】：

我必须使用 SHA-1 算法和 RSA 使用 PKCS#1 填充对字符串进行数字签名。我已经下载了 Turbo Power Lockbox。

我拥有的私钥是 PEM 格式，是使用 openssl 创建的：

openssl req -x509 -nodes -days 365 -newkey rsa:1024 -sha1 -subj 
    "/C=US/ST=CA/L=Mountain View/CN=www.mycompany.com" 
    -keyout  myrsakey.pem -out c:\temp\myrsacert.pem

这是它的样子：

如果我没记错的话，我要使用的组件是 TLbRSAKey。所以我尝试创建关键对象并从文件中读取它：

var
  mPrivateKey: TLbRSAKey;
begin
  mPrivateKey := TLbRSAKey.Create(aks1024);
  mPrivateKey.LoadFromFile('C:\temp\myrsakey.pem');

在 LoadFromFile 上，我收到“无效的 RSA 密钥”错误。我究竟做错了什么？密码箱是否支持 PEM 格式的密钥？这些例子都没有说明；一切似乎都是 ASN 格式

【问题讨论】：

只是bike shedding，但"CN=www.mycompany.com" 是前一种方式。今天它可能会导致很多问题，即使你用自己的 CA 签名（即它不是自签名的）。见How to create a self-signed certificate with openssl?。专注于主题备用名称的使用（而不是它的自签名部分）。

标签： delphi cryptography openssl

【解决方案1】：

我不是 delphi 程序员，但我想我会尝试提供一些指针。

首先，确保为您的真实应用程序生成一个新的私钥。现在您已经与我们共享了您的私钥，我们不希望有任何公开的安全漏洞。

其次，ASN.1 格式是使用 OpenSSL 的 DER 输出生成的。 PEM 格式只是二进制 ASN.1 结构的 base-64 编码（并添加了标记）。

您可以通过以下两种方式之一返回 DER：

1) 您可以解析和解码 PEM 信封中的 base-64 数据。为此，只需解码-----BEGIN/END RSA PRIVATE KEY----- 标记之间的数据。

或者，既然您正在创建一个新密钥... ;)

2)当您使用 OpenSSL 生成密钥时，您可以使用 -outform DER 参数。

我不确定这是否适用于您的应用程序，但也许它会帮助您走得更远。

提示要将 PEM 证明密钥转换为 DER 格式，请使用 OpenSSL 中的 rsa 实用程序：

openssl rsa -inform PEM -outform DER -in privkey.pem -out privkey.der

【讨论】：

这有帮助。我想我在数据格式上有一个脱节。我做了你在 (2) 中所说的，即添加 -outform DER 参数。它生成了证书和密钥。证书似乎是正确的，我可以在 Windows 中双击它，它包含所有信息。但是私钥仍然在带有标记的 Base64 中出现。我也尝试了 -keyform DER 参数，但得到了相同的结果。
不幸的是，我认为没有办法直接创建 DER 格式的私钥。相反，我添加了将您的私钥转换为 DER 格式的提示。
好的 - 我已经根据 jheddings 成功地将我的私钥转换为 DER 格式（我已经更新了我的问题以反映这一点）。但现在我得到了零误差除法。 jheddings - 谢谢，但我认为这就是它转向 Delphi 的地方。