go解析含passphrase的pem秘钥

已于 2024-05-04 14:56:22 修改
阅读量679 收藏 9
点赞数 5
分类专栏: go 后端 文章标签: go 后端
于 2024-05-04 14:49:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41855143/article/details/138440432
版权
go 同时被 2 个专栏收录
2 篇文章 0 订阅
订阅专栏
后端
2 篇文章 0 订阅
订阅专栏

背景

在编写TLS配置时需要用到需要用到一串包含passphrase的RSA秘钥,本想通过官方库的方式解析使用,但由于安全因素,官方已经禁用了DecryptPEMBlockEncryptPEMBlockIsEncryptedPEMBlock等函数,导致无法通过官方库去实现这个需求。

解决方案

最终通过pkcs8库来完成需求,代码如下:

package main

import (
	"crypto/x509"
	"encoding/pem"
	"fmt"
	"os"

	"github.com/youmark/pkcs8"
)

func main() {
	pem, err := getTlsConfig()
	if err != nil {
		panic(err)
	}
	fmt.Println("无加密的pem:", string(pem))
}

func getTlsConfig() ([]byte, error) {
	passphrase := "test123"
	keyFilePaaht := "./key"

	keyPEMByte, err := os.ReadFile(keyFilePaaht)
	if err != nil {
		err = fmt.Errorf("read %s failed! err: %s", keyFilePaaht, err)
		return nil, err
	}

	keyPEMBlock, rest := pem.Decode(keyPEMByte)
	if len(rest) > 0 {
		err := fmt.Errorf("decode key failed! rest: %s", rest)
		return nil, err
	}

	// 解析pem
	key, err := pkcs8.ParsePKCS8PrivateKey(keyPEMBlock.Bytes, []byte(passphrase))
	if err != nil {
		err = fmt.Errorf("parse PKCS8 private key err: %s", err)
		return nil, err
	}

	// 解析出其中的RSA 私钥
	keyBytes, err := x509.MarshalPKCS8PrivateKey(key)
	if err != nil {
		err = fmt.Errorf("MarshalPKCS8PrivateKey failed! %s", err)
		return nil, err
	}
	// 编码成新的PEM 结构
	newKey := pem.EncodeToMemory(
		&pem.Block{
			Type:  "PRIVATE KEY",
			Bytes: keyBytes,
		},
	)

	return newKey, nil
}

为什么GO不支持pem的加密?

GO团队的Commit Message

crypto/x509: deprecate legacy PEM encryption
It’s unfortunate that we don’t implement PKCS#8 encryption (#8860)
so we can’t recommend an alternative but PEM encryption is so broken
that it’s worth deprecating outright.

官方库x509

Deprecated: Legacy PEM encryption as specified in RFC 1423 is insecure by design. Since it does not authenticate the ciphertext, it is vulnerable to padding oracle attacks that can let an attacker recover the plaintext.

GO团队认为PEM encryption的实现是不好的,不够安全的,因此官方移除了实现,并且也不推荐相关的外部实现的库。

从这个Issue的讨论可以看出社区对这个需求的渴望已经很久,但官方并没有太多关注。

参考链接

xszivvvv
关注
专栏目录
ssh私钥爆破(Enter passphrase for key )
墨痕诉清风的博客
04-28 1342
3. 改成600 使用的时候提示Enter passphrase for key。1. 用john爆破私钥的passphrase。3. 然后john爆破这个bash。2. 登录还是询问密码。
解决服务器每次都要输入Enter PEM pass phrase
weixin_33694172的博客
10-26 772
今天架设好Python的HTTPS云服务器, 发现每次连接都要Enter PEM pass phrase 把服务器端的key里面的key剥离掉就好了 openssl rsa -in server.key -out server.key.unsecure 服务器改用这个server.key.unsecure就不会每次提示了 转载于:https://www.cnblogs.com/zho...
ngnix SSL证书自制启动失败 Enter PEM pass phrase
阿甘的博客
05-15 4202
在做esp8266 OTA升级时,通过openssl req -x509 -newkey rsa:2048 -keyout ca_key.pem -out ca_cert.pem -days 365 生成证书,然后配置ngnix之后,启动报错 [emerg] 28313#28313: SSL_CTX_use_PrivateKey_file("/etc/nginx/cert/ca_key.key") failed (SSL: error:0906406D:PEM routines:PEM_def_callb
Nginx配置SSL安全证书避免启动输入Enter PEM pass phrase
Jian Sun_的博客
12-17 5891
Nginx配置SSL安全证书避免启动输入Enter PEM pass phrase 介绍了Nginx配置SSL的一些情况,配置好的Nginx每次启动都要输两遍PEM pass phrase,很是不爽,尤其是在服务器重启后,Nginx压根就无法自动启动,必须手动启动并输入那麻烦的PEM pass phrase。如何避免Nginx启动出现Enter PEM pass phrase呢? 解决的方法如...
iOS_生成pem推送证书(用于百度云推送)
weixin_33737134的博客
11-28 198
具体步骤如下:         首先,需要一个pem的证书,该证书需要与开发时签名用的一致。 具体生成pem证书方法如下: 1. 登录到 iPhone Developer Connection Portal(http://developer.apple.com/iphone/manage/overview/index.action )并点击 App IDs 2. 创建一个不使用通配符的 ...
基于内核秘钥保留服务的ELF文件签名程序和验签模块,编译好的内核中已经将kernel_key.pem秘钥环打入内核
03-21
内核秘钥保留服务是Linux内核中的一项安全特性,用于在内核级别管理密钥,确保只有授权的代码能够访问关键数据或执行特定操作。在这个场景中,我们讨论的是一个针对ELF(Executable and Linkable Format)文件的签名...
openssl中把pem格式转为RSA解析密钥中的参数
08-07
openssl 1.1.1C 中把pem格式的rsa密钥解析出,RSA格式的密钥,然后从RSA密钥中解析出RSA密钥中的,n,d,e,dp,dq等信息;
AWS虚拟机pem密钥的使用1
08-03
在 linux 系统客户端若要登录 目标虚拟机,使用 xxx.pem 密钥对文件登录,使用以下命令:在 windows 上登录 linux 可用其他虚拟终端软件
passphrase:使用 Diceware 方法生成密码短语的 Ruby 库和命令行工具
06-11
p = Passphrase :: Passphrase . new ( number_of_words : 4 ) passphrase = p . passphrase 密码短语还具有生成密码的能力(间接)。 安装 Passphrase 命令行工具和库可以通过以下方式安装 $ gem install pass...
ios 关于推送发布的一些流程
10-26 1万+
我经常在发布ios应用到appstore的时候,遇到一系列问题,这边我把这些容易混淆忘记的流程记录下来,方便自己以及其他开发者查询 我们的应用如果要用到推送,肯定是需要push证书,而这个时候我们需要注意,证书分为两种,一个是Development 证书,一种是Production 证书,这个时候,你得注意,在你发布应用到appstore的时候,就一定要改为Production的证书。 我
使用OpenSSL工具制作X.509证书的方法及其注意事项总结
cheung10086的博客
11-14 798
如何使用OpenSSL工具生成根证书与应用证书 一、步骤简记 //生成顶级CA的公钥证书和私钥文件,有效期10年(RSA1024bits,默认) opensslreq-new-x509-days3650-keyoutCARoot1024.key-outCARoot...
【信息安全】GPG加密与解密
最新发布
qq_64585761的博客
03-20 652
本文主要介绍了使用GPG对文件进行加密与解密操作
网站启用SSL后重启Nginx提示 Enter PEM Pass Phrase:需要输入密码
weixin_33736048的博客
12-11 1756
​最近在玩 STARTSSL 感觉个人站点使用这个SSL差不多也够用了。真正商用的SSL当然也可以自行购买。 我个人是为了防止数据中间被抓走,所以用了startssl 也基本就够用了。   转回正题,startssl生成证书后,放到配置文件中,重启每次卡在Enter PEM pass phrase:需要输入密码 这很不方便, 网上流传办法: 这种情况可能是在设置私钥key时将密码设置写...
使用 OpenSSL 实现私钥和证书的转换
weixin_34302561的博客
09-03 561
原文地址:http://blog.52sox.com/use-ope... 近期在项目中iOS需要用到APNs的推送,而公司的iOS女同事(纯哥)只给了我2个p12格式的文件。突然发现,证书的转换问题还是比较常见的,比如之前支付开发。而在程序中,实际需要使用的是pem格式的证书,因此这里涉及到证书之间的转换问题。 由于私钥和证书可以以不...
[nginx]Enter PEM pass phrase
热门推荐
Thinking
03-18 2万+
http://blog.sina.com.cn/s/blog_6ffe66ef0100qzg6.html 网站的ssl证书5月底过期,客户要续订证书。以前没有搞过证书,按照nginx官方wiki流程做了下 openssl genrsa -des3 -out server.key 2048 openssl req -new -key server.key -out server.c
NGINX重启HTTPS站点要Enter PEM pass phrase输入密码
bona020的专栏
03-07 5185
NGINX重启HTTPS站点要Enter PEM pass phrase输入密码解决方法及nginx https/ssl 配置以及自动HTTP重定向到HTTPS
Nginx 添加SSL支持HTTPS后 脚本启动失败 Enter PEM pass phrase
mingjie1212的博客
01-19 6025
环境:centos7 软件环境:nginx1.10.2 遇到问题在nginx中添加SSL支持,使用的是免费的StartCom 的一年免费SSL签证。 将下载的server.crt和自己生成的server.key配置到nginx.conf中,但是发现使用脚本启动有问题。nginx.conf listen 8080 ; listen 443 ss
微信证书 pem pass phrase
05-02
微信证书 pem pass phrase 是指在使用微信支付等功能时所需要的证书文件和密码。这个证书文件是由微信支付平台针对商户申请生成的,用于保证交易的安全性和可靠性。证书文件的格式是 pem,可以在使用时被导入到开发者的代码中。 为了防止证书文件被他人盗取或使用,微信支付平台在生成证书文件时还会要求商户设置一个 pem pass phrase。这个密码是在证书文件生成的过程中由商户自己设定的,用于加密证书文件。商户在使用证书文件时需要输入 pem pass phrase 才能解锁证书文件,否则无法使用微信支付等功能。 由于微信支付等功能涉及到用户的资金安全,所以在操作证书文件和设置 pem pass phrase 时必须要慎重。商户需要将证书文件妥善保管,避免被他人窃取和篡改。同时,商户也需要牢记 pem pass phrase 这一密码,避免遗忘或泄露。只有这样才能确保微信支付等功能的安全性和可靠性,保护用户的资金安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值