如何在 Java 中将私钥写入受密码保护的 DER 格式？答案

【问题标题】：How to write private key to password protected DER format in Java?如何在 Java 中将私钥写入受密码保护的 DER 格式？
【发布时间】：2018-06-28 06:26:21
【问题描述】：

我有一个用 Java 生成的 RSA 密钥对，我需要以编程方式将私钥写入与运行此命令时 openssl 相同的格式（并为提示输入适当的数据，即要保护的密码短语私钥）：

openssl req -out request.csr -newkey rsa:2048 -keyout privkeyfile

生成密钥对的 Java 代码非常标准：

KeyPairGenerator keyGen = KeyPairGenerator.getInstance("RSA");
keyGen.initialize(2048);
KeyPair keyPair = keyGen.genKeyPair();

运行该 openssl 命令的示例输出（在我的 Windows 机器上）是：

EDIT更改了 openssl 的示例输出

编辑我尝试使用下面的代码使用 Java 读取 openssl 生成的私钥文件以尝试获取一些参数，但最终得到以下异常：

Exception in thread "main" java.io.IOException: ObjectIdentifier() -- data isn't an object ID (tag = 48)
    at sun.security.util.ObjectIdentifier.<init>(Unknown Source)
    at sun.security.util.DerInputStream.getOID(Unknown Source)
    at com.sun.crypto.provider.PBES2Parameters.engineInit(PBES2Parameters.java:267)
    at java.security.AlgorithmParameters.init(Unknown Source)
    at sun.security.x509.AlgorithmId.decodeParams(Unknown Source)
    at sun.security.x509.AlgorithmId.<init>(Unknown Source)
    at sun.security.x509.AlgorithmId.parse(Unknown Source)
    at javax.crypto.EncryptedPrivateKeyInfo.<init>(EncryptedPrivateKeyInfo.java:95)
    at crypto.ReadOpensslKey.main(ReadOpensslKey.java:35)

读取文件的Java代码：

package crypto;

import org.bouncycastle.util.encoders.Base64;
import javax.crypto.EncryptedPrivateKeyInfo;  
import javax.crypto.SecretKeyFactory;  
import javax.crypto.spec.PBEKeySpec;  
import java.io.IOException;  
import java.nio.file.Files;  
import java.nio.file.Paths;  
import java.security.InvalidKeyException;  
import java.security.KeyFactory;  
import java.security.NoSuchAlgorithmException;  
import java.security.PrivateKey;  
import java.security.spec.InvalidKeySpecException;  
import java.security.spec.PKCS8EncodedKeySpec; 

public class ReadOpensslKey {

    public static void main(String[] args) throws Exception {

        String encrypted = new String(Files.readAllBytes(Paths.get("<insert path to openssl generated privkeyfile>")));  

        //Create object from encrypted private key  
        encrypted = encrypted.replace("-----BEGIN ENCRYPTED PRIVATE KEY-----", "");  
        encrypted = encrypted.replace("-----END ENCRYPTED PRIVATE KEY-----", "");  
        EncryptedPrivateKeyInfo pkInfo = new EncryptedPrivateKeyInfo(Base64.decode(encrypted));  // exception is thrown here
        System.out.println(pkInfo.getAlgName());
        PBEKeySpec keySpec = new PBEKeySpec("abcde".toCharArray()); // password  
        SecretKeyFactory pbeKeyFactory = SecretKeyFactory.getInstance(pkInfo.getAlgName());  
        PKCS8EncodedKeySpec encodedKeySpec = pkInfo.getKeySpec(pbeKeyFactory.generateSecret(keySpec));  
        KeyFactory keyFactory = KeyFactory.getInstance("RSA");  
        PrivateKey encryptedPrivateKey = keyFactory.generatePrivate(encodedKeySpec);  
    }

}

【问题讨论】：

您的新读取问题似乎是 bugs.openjdk.java.net/browse/JDK-8076999 。由于您有 BC，如果您确实需要阅读传统或 PKCS8 加密 PEM，只需使用 BC：*.com/questions/44681737/…

标签： java cryptography rsa pem der

【解决方案1】：

首先，您真的需要这种特定格式，还是只需要一种 OpenSSL（以及使用 OpenSSL 的程序，如 Apache httpd 和 nginx 以及 curl 和 PHP 等等）可以使用？如果是后者，还有其他几个更容易和更好的选择。但是你没有问，所以我不会回答。

其次，您必须有一个非常旧的 OpenSSL。自 2010 年发布 1.0.0 以来，req -newkey -keyout 写入 PKCS8 格式，而不是传统的传统格式。

第三，这种格式是PEM而不是DER；有传统的 DER 格式，但无法加密。（PKCS8 可以在 DER 或 PEM 中加密。）

第四，如果你可以使用BouncyCastle，它可以直接做到这一点；从（任何最新版本的）bcpkix 在您的标准 JCE 上使用 org.bouncycastle.openssl.jcajce.JcaMiscPEMGenerator PrivateKey 和指定 DES-EDE3-CBC 的 JcePEMEncryptorBuilder 在内存中创建 PEMObject，然后使用 PEMWriter 将其写出。即使您实际上不能使用 BC，它也是开源的（并且 IMO 设计得非常好，尽管大多是轻微评论），它可以帮助您查看他们的代码。

那些说，您所问的内容（几乎没有）记录在 PEM_write_RSAPrivateKey 的手册页中（应该在您的系统上，但由于您的版本较旧，您最好使用 the web copy）在标题为“PEM ENCRYPTION”的部分FORMAT' 接近尾声，结合EVP_BytesToKey 的参考手册页。具体来说：

构造“传统”编码，即RSAPrivateKey from PKCS1 (currently rfc8017)，而不是JCE PrivateKey.getEncoded() 返回的PKCS8/rfc5208 PrivateKeyInfo 编码。 PKCS8 编码确实包含 PKCS1 编码作为一部分（PKCS8 是一个算法通用包装器，围绕任意数量的算法特定编码），因此您可以从 PKCS8 中提取 PKCS1（就像 BC 一样）或直接从关键组件 n,e,d,p,q,dmp1,dmq1,qinvp。（otherPrimeInfos 仅适用于所谓的“多素数”RSA，这意味着 n 的 2 个以上因子，几乎没有人实际使用。）

使用应用于password||salt 的 MD5 的一个（！）迭代从密码中导出实际的加密密钥，其中 salt 是随机 IV 的副本（3DES 为 8 字节）加上（因为这还不够）@987654338 @ 然后将总数截断为 24 个字节。
使用 3DES（JCE 称之为 DESEDE）和 CBC（与上面的 IV）和 PKCS5 填充进行加密。（对于 3DES 或 DES，每个密钥字节的低位名义上是奇偶校验，但您不需要设置它们，因为 JCE 没有实现它们。）
转换为 base64，每 64 个字符换行一次，并添加 BEGIN 和 END 行以及标题行，包括，正如您正确猜到的那样，十六进制的 IV

【讨论】：

你是对的。我正在使用的测试系统运行的是旧版本的 openssl，这不是我需要的版本。我已经用我需要兼容的新版本更新了这个问题。我不确定其他输出格式是否会起作用，因为我正在处理一个封闭源代码系统，其文档有时留下的问题多于答案。

【解决方案2】：

我最终使用以下代码让它工作：

import java.io.FileOutputStream;
import java.io.StringWriter;
import java.nio.charset.StandardCharsets;
import java.security.KeyPair;
import java.security.KeyPairGenerator;
import java.security.SecureRandom;
import java.security.Security;

import org.bouncycastle.jce.provider.BouncyCastleProvider;
import org.bouncycastle.openssl.PKCS8Generator;
import org.bouncycastle.openssl.jcajce.JcaPEMWriter;
import org.bouncycastle.openssl.jcajce.JcaPKCS8Generator;
import org.bouncycastle.openssl.jcajce.JceOpenSSLPKCS8EncryptorBuilder;
import org.bouncycastle.operator.OutputEncryptor;
import org.bouncycastle.util.io.pem.PemObject; 

public class WriteOpensslKey {

    public static void main(String[] args) throws Exception {

        // provider is needed for the encryptor builder
        Security.addProvider(new BouncyCastleProvider());

        // generate key pair
        KeyPairGenerator kpGen = KeyPairGenerator.getInstance("RSA");  
        kpGen.initialize(2048, new SecureRandom());  
        KeyPair keyPair = kpGen.generateKeyPair();  

        // construct encryptor builder to encrypt the private key
        JceOpenSSLPKCS8EncryptorBuilder encryptorBuilder = new JceOpenSSLPKCS8EncryptorBuilder(PKCS8Generator.AES_256_CBC);  
        encryptorBuilder.setRandom(new SecureRandom());  
        encryptorBuilder.setPasssword("password".toCharArray());
        OutputEncryptor encryptor = encryptorBuilder.build();  

        // construct object to create the PKCS8 object from the private key and encryptor
        JcaPKCS8Generator pkcsGenerator = new JcaPKCS8Generator(keyPair.getPrivate(), encryptor);  
        PemObject pemObj = pkcsGenerator.generate();  
        StringWriter stringWriter = new StringWriter();  
        try (JcaPEMWriter pemWriter = new JcaPEMWriter(stringWriter)) {  
            pemWriter.writeObject(pemObj);  
        }  

        // write PKCS8 to file
        String pkcs8Key = stringWriter.toString();  
        FileOutputStream fos = new FileOutputStream("<path to output file>");  
        fos.write(pkcs8Key.getBytes(StandardCharsets.UTF_8));  
        fos.flush();  
        fos.close();  

    }

}

然后，我可以将此私钥与 openssl 一起使用来签署文件，以快速测试它是否有效。

非常感谢@dave_thompson_085 为我指明了正确的方向！

【讨论】：

是的，考虑到您更改为现代 PKCS8 加密格式，这是很好的代码。有一个小的区别：PKCS8 加密可以使用各种算法，req -newkey -keyout 使用 PBKDF2(HmacSHA1,salt,2048) 加上 3DES-CBC（如您更新的 Q）写入，而此代码使用 PBKDF2（相同）加上 AES256-CBC。这在 OpenSSL 可以读取的范围内，其他 OpenSSL 命令，如 pkey 和 pkcs8（更不用说使用 libcrypto 的代码）可以写入或转换到它。