使用 OpenSSL 生成密钥对答案

【问题标题】：Using OpenSSL to Generate KeyPairs使用 OpenSSL 生成密钥对
【发布时间】：2019-08-09 07:37:25
【问题描述】：

我正在使用delphiopenssl wrapper 生成 .pem 格式的密钥文件。我正在使用Generate RSA Key example 来生成这些密钥。

我需要什么

两天前，我希望找到一种简单的方法来生成 RSA 密钥并使用它们来加密/加密一些字符串或 TBytes 缓冲区。现在，在搜索了所有可能的解决方案后，我决定使用 OpenSSL 来完成这项工作

我的问题

问题是我不能用输入的文件名创建文件到函数中。但是我仍然得到一个名为“C”或“m”（没有扩展名）的文件，其中包含 PEM 格式的公钥和私钥，更奇怪的是我为函数提供了公钥和私钥的两个文件名

我尝试了什么

我查找了所用 openssl 方法的文档，因此我知道如何调试它，但没有成功。
我尝试使用 Openssl.exe 命令行来执行相同的操作，并且成功了，所以我知道这不是 openssl 中的错误。
起初，由于[dcc32 Error] CryptoUtils.pas(399): E2010 Incompatible types: 'PAnsiChar' and 'PWideChar'，我无法编译代码，我的解决方案是在需要时将类型转换为PAnsiChar，并确保所有输入都是ansistring，因此我可以尝试非Unicode 测试但没有成功。
当我调试这个文件名直到函数调用我得到 0 作为结果（在模糊的文档中 0 表示成功）但我总是得到相同的结果（C 或 M 文件名在输出目录）。
我试图通过文档寻找其他语言的其他实现，但同样没有真正的解决方案，每个人都神奇地解决了它而没有问题

这是负责的代码

procedure GenerateKeyPair;
var
  kp: TKeyPairGenerator;
begin
kp := TKeyPairGenerator.Create;
kp.KeyFileNames(GetCurrentDir + '\mykeys');  // it create a pair c:\temp\mykeys.key
                                    // and c:\temp\mykeys.pub
kp.Password := 'mypasswd';          // Required
kp.GenerateRSA;
end;


procedure TMainForm.Button2Click(Sender: TObject);
begin
  InitOpenSSL;

  GenerateKeyPair;

  FreeOpenSSL;
end;

function TKeyPairGenerator.GenerateRSA: Integer;
var
  rsa: pRSA;
  PrivateKeyOut, PublicKeyOut, ErrMsg: pBIO;
  buff: array [0..1023] of char;
  enc: pEVP_CIPHER;

begin

Result := 0;

if (fPrivateKeyFile = '') or (fPublicKeyFile = '') then
  raise EOpenSSL.Create('Key filenames must be specified.');
if (fPassword = '') then
  raise EOpenSSL.Create('A password must be specified.');

ERR_load_crypto_strings;
OpenSSL_add_all_ciphers;

enc := EVP_des_ede3_cbc; ///??????

// Load a pseudo random file
RAND_load_file(PAnsiChar(fSeedFile), -1);

rsa := RSA_generate_key(fKeyLength, RSA_F4, nil, ErrMsg);
if rsa=nil then
  begin
  BIO_reset(ErrMsg);
  BIO_read(ErrMsg, @buff, 1024);
  raise EOpenSSL.Create(PChar(@buff));
  end;

PrivateKeyOut := BIO_new(BIO_s_file());
if BIO_write_filename(PrivateKeyOut, PAnsiChar(fPrivateKeyFile)) <> 0 then Result := - 1; // I get a 1 here meaning failure whit out any useful info
PublicKeyOut := BIO_new(BIO_s_file());
if BIO_write_filename(PublicKeyOut, PAnsiChar(fPublicKeyFile)) <> 0 then Result := ERR_peek_last_error; // ERR_peek_last_error returns 0

PEM_write_bio_RSAPrivateKey(PrivateKeyOut, rsa, enc, nil, 0, nil, PChar(fPassword));
PEM_write_bio_RSAPublicKey(PublicKeyOut, rsa);

if rsa <> nil then RSA_free(rsa);
if PrivateKeyOut <> nil then BIO_free_all(PrivateKeyOut);
if PublicKeyOut <> nil then BIO_free_all(PublicKeyOut);
end;

这是名为C的文件的内容

我的问题如何解决这个问题，或者我可以阅读有关这些方法的任何文档。

来自 Indy 服务器的 OpenSSL 版本 1.0.2。

旁注：我提交了一个功能请求 (System.Cryptography)，有兴趣为这项事业投票

【问题讨论】：

我怀疑这是否是您的问题的原因，但GetCurrentDir + '\mykeys' 看起来像是一场即将发生的事故。例如。如果应用程序对GetCurrentDir 碰巧返回的位置没有足够的权限怎么办？
@MartynA 我正在从文档目录运行应用程序，所以很好，我从不使用这种类型的代码，真实产品名称的路径是 Unicode，正如我所说我试图进行非 Unicode 测试，因为 PAnsiChar 转换

标签： delphi openssl rsa delphi-10.2-tokyo

【解决方案1】：

相反，我通常使用 PEM_write_bio_* API 分别创建公钥和私钥来创建 TBytes。一旦你有了公钥和私钥的 TBytes，你就可以在 System.IOUtils 单元中使用 Delphi 的 TFile.WriteAllBytes() 将 TBytes 保存到文件中。

function CreateCertificate_PKCS(out APublicKey, APrivateKey: TBytes): Boolean;
var
  Bignum: PBIGNUM;
  RSA: PRSA;
  PrivateKey, PublicKey: PBIO;
  KeyLength: Integer;
begin
  Result := False;
  Bignum := BN_new();
  try
    if BN_set_word(Bignum, RSA_F4) = 1 then
    begin
      RSA := RSA_new;
      try
        if RSA_generate_key_ex(RSA, 2048, Bignum, nil) = 1 then
        begin
          { Write the public key }
          PublicKey := BIO_new(BIO_s_mem);
          try
            PEM_write_bio_RSAPublicKey(PublicKey, RSA);
            KeyLength := BIO_pending(PublicKey);
            SetLength(APublicKey, KeyLength);
            BIO_read(PublicKey, @APublicKey[0], KeyLength);
          finally
            BIO_free(PublicKey);
          end;

          { Write the private key }
          PrivateKey := BIO_new(BIO_s_mem);
          try
            PEM_write_bio_RSAPrivateKey(PrivateKey, RSA, nil, nil, 0, nil, nil);
            KeyLength := BIO_pending(PrivateKey);
            SetLength(APrivateKey, KeyLength);
            BIO_read(PrivateKey, @APrivateKey[0], KeyLength);
          finally
            BIO_free(PrivateKey);
          end;

          Result := True;
        end;
      finally
        RSA_free(RSA);
      end;
    end;
  finally
    BN_free(Bignum);
  end;
end;

【讨论】：

谢谢，我现在正在打电话，我会试试这个并回复你。
你在这个例子中使用的是IdSSLOpenSSLHeaders.pas吗？
是的，这适用于 indy 标头，适用于 1.0.x 和 1.1.x 版本的 openssl。要仅将其与 Indy 头文件 IdSSLOpenSSLHeaders 一起使用，您可能需要在使用此例程之前调用 Load()。
非常感谢您，您让我摆脱了很多压力。我将详细回答我如何使用您的代码解决我的问题（生成、加密、解密），以供未来的读者阅读
很高兴它帮助您解决了问题。我通常避免使用库 API 来写入或读取磁盘，因为你永远不知道它们如何处理写入错误、文件名和路径。最好自己处理。

【解决方案2】：

这是我解决问题的方法

问题：生成一个 RSA 密钥对（公共/私有），然后从文件、流甚至TBytes 缓冲区中读取它们。

找到的解决方案：

您可以找到的第一件事 (google) 是 Delphi 的 Turbo Pack LockBox，但问题是它不支持 1048 位以上的密钥大小（在撰写本文时），这远低于当前的最小密钥大小（在撰写本文时为 2048 年），因此您可以从可能的解决方案中省略它（尽管它具有我需要的本机实现）。
CryptoAPI 的包装器。这个想法很漂亮，因为您有机会使用 Microsoft 自己的Crypto Library，这将使部署更容易（因为它内置在它自己的操作系统中）。然而，对 Pascal 的支持很少（它是用 c++ 编写的），并且需要大量的工作来支持和维护，而且它不是跨平台的。
OpenSSl 的包装器。现在这是一个很棒的想法，因为该库已经被一个伟大的开源项目 Indy 使用，并且搜索其他开源项目的成功可能性更高
1. zizzo81/delphiopenssl 有自己的 OpenSSL 包装器和出色的演示，但问题表明该源代码中存在一两个问题，我无法在 GitHub 上发布问题，原因是该项目未维护，它只是一个从旧网站导入的版本。
2. lminuti/Delphi-OpenSSL 基于 Indy Wrappers IdSSLOpenSSLHeaders.pas 并为此问题提供基本功能（加密/解密但不生成）。

最终解决方案：

最后，我需要向lminuti/Delphi-OpenSSL 添加一些内容才能完成，感谢allen-drennan 对这个问题的回答，这很容易。

我也forked lminuti/Delphi-OpenSSL 来介绍这个问题所涉及的变化（fork 包含一个针对这个问题的即用型教程）

我发现并修复的错误基础项目中的当前包装器使用 PEM_read_bio_PubKey 来读取传统 PEM 格式（不再是标准）的公钥文件，它也使用 PEM_write_bio_RSAPrivateKey也被弃用了（我暂时没有解决这个问题）

我发现有用的参考资料：

Linux page 包含有关 OpenSSL 的旧文档。
OpenSSL docs 我仍然说它正在编写和维护中。
This answer by jww 用 c++ 实现中的代码解释了不同格式的键
Reading Public Private key from memory with OpenSSl
C OpenSSL export private key
过去我从其他资源中读到的有关密码学的一般信息

【讨论】：