2. PKI - 语法[ASN.1]、规范[PKCS、X.509]、编码[DER、PEM]

最新推荐文章于 2023-05-06 17:20:59 发布
最新推荐文章于 2023-05-06 17:20:59 发布
阅读量1.4k 收藏 5
点赞数 3
分类专栏: PKI 文章标签: ASN.1 PKCS X.509 DER PEM
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ttyy1112/article/details/107064407
版权

2. PKI - 语法[ASN.1]、规范[PKCS、X.509]、编码[DER、PEM]

上节我们介绍了RSA的诞生和密钥对的生成,其中生成的密钥均是以PEM编码展示和存储的,那么这些密钥文件究竟都包含了哪些内容、都是以什么格式进行存储的呢。本节将介绍ASN.1,PKCS, X.509, DER, PEM等概念以及他们之间的关系。然后对密钥文件或证书文件的后缀做一些简单的介绍。

1. ASN.1 - Abstract Syntax Notation One

In telecommunications and computer networking, Abstract Syntax Notation One (ASN.1) is a standard and flexible notation that describes data structures for representing, encoding, transmitting, and decoding data. It provides a set of formal rules for describing the structure of objects that are independent of machine-specific encoding techniques and is a precise, formal notation that removes ambiguities.

ASN.1抽象语法标记(Abstract Syntax Notation One) ASN.1是一种 ISO/ITU-T 标准,描述了一种对数据进行表示、编码、传输和解码的数据格式。它提供了一整套正规的格式用于描述对象的结构,而不管语言上如何执行及这些数据的具体指代,也不用去管到底是什么样的应用程序。

重点:ASN.1是一种语言,一种标记语言,作用是描述数据结构。基于这种数据结构可以进行数据的表示、编码、传输和解码。

2. 基于ASN.1的数据描述

PKCS协议组和X.509协议均采用ASN.1来定义密钥或证书的数据结构。

2.1 PKCS

The Public-Key Cryptography Standards (PKCS)是由美国RSA数据安全公司及其合作伙伴制定的一组公钥密码学标准,其中包括证书申请、证书更新、证书作废表发布、扩展证书内容以及数字签名、数字信封的格式等方面的一系列相关协议。

到1999年底,PKCS已经公布了15个标准,其编号分别为PCKS#1~15。其中比较常用的有PKCS#1, PKCS#7, PKCS#8以及PKCS#12。

PKCS #1 : RSA Cryptography Standard

  • Defines the mathematical properties and format of RSA public and private keys, and the basic algorithms and encoding/padding schemes for performing RSA encryption, decryption, and producing and verifying signatures.

PKCS #7 : Cryptographic Message Syntax Standard

  • A PKCS #7 file only contains certificates and chain certificates (Intermediate CAs), not the private key.
  • The file name extension is usually .p7b, .p7c.
  • The most common platforms that support P7B files are Microsoft Windows and Java Tomcat

PKCS #8 : Private-Key Information Syntax Standard

  • Used to carry private certificate keypairs (encrypted or unencrypted).

PKCS #12 : Personal Information Exchange Syntax Standard

  • The PKCS#12 or PFX/P12 format is a binary format for storing the server certificate, intermediate certificates, and the private key in one encryptable file.
  • These files usually have extensions such as .pfx and .p12.
  • They are typically used on Windows machines to import and export certificates and private keys

下面是一些语法描述:

PKCS#1: RSA Public Key Syntax

RSAPublicKey ::= SEQUENCE {
  modulus           INTEGER,  -- n
  publicExponent    INTEGER   -- e 
}

PKCS#1: RSA Private Key Syntax

RSAPrivateKey ::= SEQUENCE {
  version           Version,
  modulus           INTEGER,  -- n
  publicExponent    INTEGER,  -- e
  privateExponent   INTEGER,  -- d
  prime1            INTEGER,  -- p
  prime2            INTEGER,  -- q
  exponent1         INTEGER,  -- d mod (p-1)
  exponent2         INTEGER,  -- d mod (q-1)
  coefficient       INTEGER,  -- (inverse of q) mod p
  otherPrimeInfos   OtherPrimeInfos OPTIONAL
}

PKCS#8: Private Key Syntax

PrivateKeyInfo ::= SEQUENCE {
  version         Version,
  algorithm       AlgorithmIdentifier,
  PrivateKey      BIT STRING
}
 
AlgorithmIdentifier ::= SEQUENCE {
  algorithm       OBJECT IDENTIFIER,
  parameters      ANY DEFINED BY algorithm OPTIONAL
}

PKCS#8: Encrypted Private Key Syntax

EncryptedPrivateKeyInfo ::= SEQUENCE {
  encryptionAlgorithm  EncryptionAlgorithmIdentifier,
  encryptedData        EncryptedData
}
 
EncryptionAlgorithmIdentifier ::= AlgorithmIdentifier
 
EncryptedData ::= OCTET STRING

2.2 X.509

X.509 是密码学里公钥证书的格式标准。 X.509 证书己应用在包括TLS/SSL(WWW万维网安全浏览的基石)在内的众多 Internet协议里。同时它也用在很多非在线应用场景里,比如电子签名服务。X.509证书里含有公钥、身份信息(比如网络主机名,组织的名称或个体名称等)和签名信息(可以是证书签发机构CA的签名,也可以是自签名)。对于一份经由可信的证书签发机构签名或者可以通过其它方式验证的证书,证书的拥有者就可以用证书及相应的私钥来创建安全的通信,对文档进行数字签名。

另外除了证书本身功能,X.509还附带了证书吊销列表和用于从最终对证书进行签名的证书签发机构直到最终可信点为止的证书合法性验证算法。

X.509是ITU-T标准化部门基于他们之前的ASN.1定义的一套证书标准。

重点:

  1. X.509证书除了包含公钥信息外,还包含身份信息(比如网络主机名,组织的名称或个体名称等)和签名信息(可以是证书签发机构CA的签名,也可以是自签名)。
  2. X.509证书的格式也是根据ASN.1语法定义的。

The X.509 v3 certificate basic syntax is as follows.

Certificate  ::=  SEQUENCE  {
    tbsCertificate       TBSCertificate,
    signatureAlgorithm   AlgorithmIdentifier,
    signatureValue       BIT STRING  }

TBSCertificate  ::=  SEQUENCE  {
    version         [0]  EXPLICIT Version DEFAULT v1,
    serialNumber         CertificateSerialNumber,
    signature            AlgorithmIdentifier,
    issuer               Name,
    validity             Validity,
    subject              Name,
    subjectPublicKeyInfo SubjectPublicKeyInfo,
    issuerUniqueID  [1]  IMPLICIT UniqueIdentifier OPTIONAL,
                         -- If present, version MUST be v2 or v3
    subjectUniqueID [2]  IMPLICIT UniqueIdentifier OPTIONAL,
                         -- If present, version MUST be v2 or v3
    extensions      [3]  EXPLICIT Extensions OPTIONAL
                         -- If present, version MUST be v3
    }

Version  ::=  INTEGER  {  v1(0), v2(1), v3(2)  }

CertificateSerialNumber  ::=  INTEGER

Validity ::= SEQUENCE {
    notBefore      Time,
    notAfter       Time }

Time ::= CHOICE {
    utcTime        UTCTime,
    generalTime    GeneralizedTime }

UniqueIdentifier  ::=  BIT STRING

SubjectPublicKeyInfo  ::=  SEQUENCE  {
    algorithm            AlgorithmIdentifier,
    subjectPublicKey     BIT STRING  }

Extensions  ::=  SEQUENCE SIZE (1..MAX) OF Extension

Extension  ::=  SEQUENCE  {
    extnID      OBJECT IDENTIFIER,
    critical    BOOLEAN DEFAULT FALSE,
    extnValue   OCTET STRING
                -- contains the DER encoding of an ASN.1 value
                -- corresponding to the extension type identified
                -- by extnID
    }

3. ASN.1相关编码

与ASN.1相关的编码规则包括

  • 基本编码规则(BER, Basic Encoding Rules) -X.209
  • 规范编码规则(CER, Canonical Encoding Rules)
  • 识别名编码规则(DER, Distinguished Encoding Rules)
  • 压缩编码规则(PER, Packed Encoding Rules)
  • XML编码规则(XER, XML Encoding Rules)

其中BER、CER、DER、PER都属于二进制编码,相关密钥文件和证书文件一般采用的是DER编码;

4. PEM编码

Privacy-Enhanced Mail (PEM) is a de facto file format for storing and
sending cryptographic keys, certificates, and other data, based on a
set of 1993 IETF standards defining “privacy-enhanced mail.”

PEM是一个用来存储和发送密码学key、证书和其他数据的文件格式的事实标准。许多使用ASN.1的密码学标准(比如X.509和PKCS)都使用DER编码,而DER编码的内容是二进制的,不适合与邮件传输(早期Email不能发送附件),因此使用PEM把二进制内容转换成ASCII码。文件内容的格式像下面这样:

-----BEGIN label-----
BASE64 Encoded
-----END label-----

PEM实际上就是把DER编码的文件的二进制内容用base64编码一下,然后加上-----BEGIN label-----这样的头和-----END label-----这样的尾,中间则是DER文件的Base64编码。

4.1 PEM参考

PKCS #1 RSA Private Key

-----BEGIN RSA PRIVATE KEY-----
BASE64 Encoded
-----END RSA PRIVATE KEY-----

PKCS #1 RSA Public Key

-----BEGIN RSA PUBLIC KEY-----
BASE64 Encoded
-----END RSA PUBLIC KEY-----

PKCS #8 Private Key

-----BEGIN PRIVATE KEY-----
BASE64 Encoded
-----END PRIVATE KEY-----

PKCS #8 Encrypted Private Key

-----BEGIN ENCRYPTED PRIVATE KEY-----
BASE64 Encoded
-----END ENCRYPTED PRIVATE KEY-----

X.509 Certificate

-----BEGIN CERTIFICATE-----
BASE64 Encoded
-----END CERTIFICATE-----

X.509 Certificate Subject Public Key Info

-----BEGIN PUBLIC KEY-----
BASE64 Encoded
-----END PUBLIC KEY-----

5. 密钥、证书文件后缀

密钥、证书文件的后缀看起来比较杂乱,有些让人搞不清该用什么样的后缀合适。密钥、证书文件的后缀命名其实是有一定规律的,其大致可以分为以下几类:

  1. 按不同规范分,如
    PKCS#7文件的后缀为 .p7b, .p7c
    PKCS#8文件的后缀为 .key
    PKCS#12文件的后缀为 .p12, pfx
    X.509文件后缀为.cer, .crt
  2. 按编码方式分, 如
    DER编码方式的文件其后缀为 .der,PKCS#12规范的文件是二进制编码,可以采用.der后缀
    PEM编码方式的文件其后缀为 .pem,像满足PKCS#1, PKCS#7,PKCS#8, X.509规范的文件一般采用的pem编码方式

因此对于同一文件可以采用多种后缀进行命名,如对于一个证书文件,如果采用的PEM编码,可以采用的后缀有 .cer,.crt,.pem。

参考

X.509、PKCS文件格式介绍
X.509
PKCS
PKCS #1: RSA Cryptography Specifications Version 2.2
Textual Encodings of PKIX, PKCS, and CMS Structures
Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile

阿湯哥
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
x.509-rfc2459.zip
11-16
PKI Public Key Infrastructure Certificate and CRL Profile。Internet X.509
语法[ASN.1]、规范[PKCS、X.509]、编码[DERPEM]之间的关系
Littlemotor
07-22 3860
转自:https://blog.csdn.net/ttyy1112/article/details/107064407 本节将介绍ASN.1PKCS, X.509, DER, PEM等概念以及他们之间的关系。然后对密钥文件或证书文件的后缀做一些简单的介绍。 1. ASN.1 - Abstract Syntax Notation One In telecommunications and computer networking, Abstract Syntax Notation One (A...
ASN.1PKCS#7.pptx
11-26
学习记录的PPT文档中,主要把我对ASN.1PKCS7的理解做了记录,希望可以帮助大家
常见证书格式和转换
weixin_34143774的博客
01-03 385
PKCS PKCS 全称是 Public-Key Cryptography Standards ,是由 RSA 实验室与其它安全系统开发商为促进公钥密码的发展而制订的一系列标准。 What is PKCS? http://www.rsa.com/rsalabs/node.asp?id=2308 PKCS 目前共发布过 15 个标准:(1)PKCS#1:RSA加密标准。PKCS#1定义了R...
PKCS7 签名
08-05 1001
���¼���ԭʼ��ҳ��ӡ Openssl之Pkcs7之3 Signed-Data内容类型的编码解码 PKCS7_SIGNED.sign在openssl中的定义如下: typedef struct pkcs7_signed_st { ASN1_INTEGER*version;/* version 1 */ STACK_OF(X509_ALGOR)*m...
ASN.1-PKCS10-x509
liudong200618的博客
05-06 807
ASN1采用一个个的数据块来描述整个数据结构,每个数据块都有四个部分组成:1、数据块数据类型标识(一个字节)数据类型包括简单类型和结构类型。简单类型是不能再分解类型,如整型(INTERGER)、比特串(BIT STRING)、字节串(OCTET STRING)、对象标示符(OBJECT IDENTIFIER)、日期型(UTCTime)等。结构类型是由简单类型和结构类型组合而成的,如顺序类型(SEQUENCE, SEQUENCE OF)、选择类型(CHOICE)、集合类型(SET)等。
那些证书相关的玩意儿(SSL,X.509,PEM,DER,CRT,CER,KEY,CSR,P12等)
weixin_34337265的博客
08-07 84
之前没接触过证书加密的话,对证书相关的这些概念真是感觉挺棘手的,因为一下子来了一大堆新名词,看起来像是另一个领域的东西,而不是我们所熟悉的编程领域的那些东西,起码我个人感觉如此,且很长时间都没怎么搞懂。写这篇文章的目的就是为了理理清这些概念,搞清楚它们的含义及关联,还有一些基本操作。 SSL SSL – Secure Sockets Layer,现在应该...
如何构造PKCS 7签名(一)
weixin_45303938的博客
07-26 2268
PKCS#7定义了加密消息的语法标准,也就是加密数据、数字信封、数字签名这些密码运算结果的数据格式标准。基于这一标准,使得不同密码体系之间交换数据成为可能。PKCS#7作为RSA安全体系的一部分,被广泛支持和使用,如CryptoAPI、OpenSSL、PDF加密签名等。但在某些情况下,如Java自带的加密库并不支持PKCS#7,或者使用PKCS#7不支持的国密算法时,就可能需要我们自己实现PKCS#7标准。 今天先结合代码讲解一下如何创建使用最多的PKCS#7数字签名。说明的是,提供的代码示例只能是示例,因
pkcs7 - 1
11-02 1540
PKCS #7:Cryptographic Message Syntax Standard   An RSALaboratories Technical Note Version 1.5 RevisedNovember 1, 1993     SupersedesJune 3, 1991 version, which was also published as NIST/OSIIm
PKCS7签名的ASN1格式
02-22
可使用此格式,通过ASN1C生成完整的PKCS7签名C语言代码,实现诸如SM2算法数字签名及验证。 注意,CertificateSerialNumber本来在PKCS7标准ASN1结构中定义为INTEGER类型,但由于ASN1C将INTEGER类型翻译成long,不支持大整数。故这里将CertificateSerialNumber定义成OCTET STRING类型。因此相应的在生成的C代码中,凡涉及到CertificateSerialNumber类型的地方,都还需要将其TAG从4<<2(OCTET STRING)改回成2<<2(INTEGER)
PHPASN1:一个PHP库,用于使用ITU-T X.690编码规则对任意ASN.1结构进行编码和解码
03-08
该API允许您对ASN.1结构进行编码以创建二进制数据,例如证书签名请求(CSR),X.509证书或证书吊销列表(CRL)。 PHPASN1还可以将二进制数据读取到单独PHP对象中,然后用户可以对其进行操作并对其进行重新编码。 ...
ASN1.js:ASN1js是一个纯JavaScript库,实现了完整的ASN.1 BER解码器和编码
04-27
ASN1js 抽象语法表示法一(ASN.1)是一种标准和表示法,它描述了用于在电信和计算机网络中表示,编码,传输和解码数据的规则和结构。 是实现此标准的纯JavaScript库。 ASN.1是所有X.509相关数据结构和网络上使用的...
pki-ca-10.5.18-14.el7_9.noarch.rpm
12-18
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
论文研究-一种解决X.509PKI和EDIFACTPKI互连问题的方案.pdf
07-22
提出了一种利用专用互联网关解决X.509 公开密钥基础设施和EDIFACT公开密钥基础设施之间互用问题的方案,详细地给出了该方案的核心思想、功能模块和内部操作流程,为电子商务和电子政务的互连提供了一条新途径。
PKCS#7格式数字签名验证
JoShua 的 水库
01-19 1万+
名词解释       数字签名:在ISO7498-2标准中定义为:"附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)进行伪造"。       PKCS#7:也叫做加密消息的语法标准,由RSA安全体系在公钥加密系统中交换数字证书产生的一种加密标准。PKCS#7描述数字证书的语法和其他加密消息——尤其是,数据加密和数字签名的方法,也包含了算法。当使用PKCS#7进行数字签名时,结果包含签名证书(
X.509证书及CeritificationPath及PKCS
ahr7882的博客
12-05 188
X.509,数字证书标准。X.509用在包含SSL/TLS在内的很多网络协议中,证书内部包含一个public key和一个identity(hostname,organization等)。   X.509由ITU-T发布,International Telecommunications Unions,基于ASN.1编码。 一个X.509的证书可以由CA或者self-signed来...
JAVA——RSA加密【X509EncodedKeySpec、PKCS8EncodedKeySpec、RSAPublicKeySpec、RSAPrivateKeySpec】
热门推荐
无限迭代中......
01-15 1万+
基本概念 RSA加密算法:RSA加密算法是一种非对称加密算法。在公开密钥加密和电子商业中RSA被广泛使用。RSA是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的。当时他们三人都在麻省理工学院工作。RSA就是他们三人姓氏开头字母拼在一起组成的。 RSA是目前最有影响力的公钥加密算法,该算法基...
java网络学习之 PKCS标准 X.509标准 证书等概念 的汇总(16)
xiaoliuliu2050的专栏
04-18 1329
一、文件编码格式(pem,derPEM (Privacy Enhancement Message),定义见RFC1421 是一种基于 base64 的编码格式,常见于 linux/unix 下的证书编码 结构组成== {header} body {tail}示例 -----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBi...
X.509PKCS文件格式介绍
chali1314的博客
07-26 730
X509PKCS证书说明
jenkins-2.401.1-1.1.noarch.rpm 的公钥尚未安装
最新发布
06-06
这个问题是一个错误信息,它提示你在安装 jenkins-2.401.1-1.1.noarch.rpm 包时出现了公钥未安装的错误。这个问题通常可以通过安装 RPM-GPG-KEY-Jenkins 公钥来解决。你可以按照以下步骤操作: 1. 下载 RPM-GPG-KEY-Jenkins 公钥: ``` wget -O /etc/pki/rpm-gpg/RPM-GPG-KEY-Jenkins https://pkg.jenkins.io/redhat-stable/jenkins.io.key ``` 2. 导入公钥: ``` rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-Jenkins ``` 3. 再次尝试安装 jenkins-2.401.1-1.1.noarch.rpm 包。 这样应该就能解决这个问题了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值