jce 私钥与OPENSSL私钥文件的版本兼容性及DER编码转换

因为openssl 1.0以前的版本对私钥编码方式和PKCS#8私钥编码方式有点不同.如果你查看PKCS#8,你可以看到私钥的ASN.1 module如下:

PrivateKeyInfo ::= SEQUENCE {
  version Version,
  privateKeyAlgorithm AlgorithmIdentifier {{PrivateKeyAlgorithms}},
  privateKey PrivateKey,
  attributes [0] Attributes OPTIONAL }

Version ::= INTEGER {v1(0)} (v1,...)

PrivateKey ::= OCTET STRING ----openssl的传统编码

Attributes ::= SET OF Attribute

    如果在Java程序中使用PrivateKey.getEncoded()方法的话,得到的是整个PKCS8的结构的ASN.1的DER编码.而openssl1.0以前的私钥编码方式中是直接对上面的那个OCTET STRING进行编码的,也就是说,里面只包含了RSA私钥的几个必须的BigInteger.如果需要用JCE生存私钥文件,再由Openssl1.0以前的来使用该私钥文件,则需要进行转换。基于BouncyCastle我们可以很方便的写出这样子的转换方法。

  public byte[] getOpensslEncodeKey(PrivateKey pKey){
try
{
RSAPrivateCrtKey rsaKey = (RSAPrivateCrtKey) pKey;
RSAPrivateKeyStructure rsastruct = new RSAPrivateKeyStructure(
rsaKey.getModulus(), rsaKey.getPublicExponent(),
rsaKey.getPrivateExponent(), rsaKey.getPrimeP(),
rsaKey.getPrimeQ(), rsaKey.getPrimeExponentP(),
rsaKey.getPrimeExponentQ(), rsaKey.getCrtCoefficient());
ByteArrayOutputStream bytearrayoutputstream = new ByteArrayOutputStream();
DEROutputStream deroutputstream = new DEROutputStream(
bytearrayoutputstream);
deroutputstream.writeObject(rsastruct.getDERObject());
deroutputstream.close();
return bytearrayoutputstream.toByteArray();

}catch(Exception e){
e.printStackTrace();
}

return null;
}
 这样,就可以了。

  从openssl1.0以后的版本,对私钥编码就是按PKCS#8私钥编码来处理的了,这就和在Java程序中使用PrivateKey.getEncoded()方法是相同的,两者可以通用的。.

 最后需要说明的是,  如果要将私钥文件保存为PEM编码那么私钥的文件头也是一个很重要的问题。通过以上转换的getOpensslEncodeKey这个接口转换的私钥需要在头中指明私钥的算法类型,比如RSA的私要要用“-----BEGIN RSA PRIVATE KEY-----”和"-----END RSA PRIVATE KEY-----",否则openssl被报无法加载私钥文件的错误。对于采用PrivateKey.getEncoded()得到的私钥,又必须采用"-----BEGIN PRIVATE KEY-----"和"-----END PRIVATE KEY-----",否则openssl也将被报无法加载私钥文件的错误。


阅读更多
个人分类: JAVA C++ 信息安全
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页

关闭
关闭
关闭