OpenSSL

Linux-haladó

OpenSSL

  • 1851 megtekintés

( zither | 2005. 01. 27., cs – 15:22 )

Nem tudom.

Csináltam egy 2048 bites RSA kulcsot, de azzal se sikerült aláírnom. Azt hiszem viszont hogy ennél nagyobb kulcsot nem lehet készíteni OpenSSL-el.
Akkor most mi lehet?

Másképp megfogalmazva a problémát:
Telepítő programokat, tömörítvényeket, és szoftvereket szeretnék aláírni (mint néhány windozra írt programnál is látható). Hogyan kell ezt csinálni?
(Ezért próbálkoztam az "openssl rsautl -sign -in $file -inkey $key -out $signed" paranccsal , amit az openssl doksiából szedtem. Ez azonban nem igazán működik (lásd az első hozzászólást). A kulcsok viszont biztos jók, mert a Netscape szónélkül elfogadta, és tudtam vele levelet aláírni.

( LiRul v | 2005. 01. 27., cs – 19:39 )

[quote:32863ff163="zither"]Nem tudom.

Csináltam egy 2048 bites RSA kulcsot, de azzal se sikerült aláírnom. Azt hiszem viszont hogy ennél nagyobb kulcsot nem lehet készíteni OpenSSL-el.
Akkor most mi lehet?

[code:1:32863ff163]$ echo foobar >tmp
$ openssl rsautl -in tmp -out tmp.signed -inkey privkey.pem -sign
$ file tmp.signed
tmp.signed: data
$ ls -l tmp.signed
-rw-r--r-- 1 lirul lirul 256 Jan 27 19:35 tmp.signed[/code:1:32863ff163]

[quote:32863ff163="man rsautl"]
[code:1:32863ff163]
NOTES
rsautl because it uses the RSA algorithm directly can
only be used to sign or verify small pieces of data.
[/code:1:32863ff163]

Magyarul ez tenyleg nagyon kicsi meretu fajlokat tud kezelni.

( zither | 2005. 01. 28., p – 09:01 )

[quote:c608a284da="LiRul"]Ezt nezd meg szerintem: http://msdn.microsoft.com/library/default.asp?url=/library/en-us/msi/setup/msicert_exe.asp

Köszi a segítséget. A Microsot Installer 2 SDK-ban találtam egy eszközt amire szükségem van. Ha jól értelmeztem a fentebb említett msicert.exe az MSI telepítési adatbázisok aláírására alkalmas. Azonban ugyan abban a csomagban található egy signtool.exe névre hallgató kis jószág, ami lehetővé teszi bármilyen bináris (futtatható állományok, adat blokkok, tömörített archívumok) aláírását. (Kár hogy M$, de hát ez van :)

Mégegyszer köszi a segítséget.

( zither | 2005. 01. 25., k – 16:53 )

zither@szerver:~/ssl> openssl rsautl -sign -in Project1.exe -inkey zither.pk8 -out signed.exe
Enter pass phrase for zither.pk8:
RSA operation error
13472:error:0406C06E:rsa routines:RSA_padding_add_PKCS1_type_1:data too large for key size:rsa_pk1.c:73:
zither@szerver:~/ssl>

Ha valaki tudja hogy mi a probléma kérem segítsen. A saját PKCS8 formátumú kulcsdommal szeretném aláírnai a win32 binárist. Ha valaki tudja mi a hiba kérem segítsen. Fontos.
Előre is köszi

( LiRul v | 2005. 01. 25., k – 18:39 )

[quote:9d63d498df="zither"]13472:error:0406C06E:rsa routines:RSA_padding_add_PKCS1_type_1:data too large for key size:rsa_pk1.c:73:
zither@szerver:~/ssl>

That's the way that RSA works; you need to create a bigger key to be able to encrypt bigger chunks of data; the error message is quite clear.

http://bugs.php.net/bug.php?id=26664&edit=3 utolso comment.

Az általános válasz a kérdésedre az, hogy nem az egész file-t hanem annak egy digest-jét szokták aláírni, valahogy így :

openssl dgst -sha1 -sign host.key -out alairas.bin valami.exe

Az egész fájl alapján nagyon sok számítást igényelne az aláírás elkészítése.

Így ellenőrzöd vissza:

openssl dgst -sha1 -verify host.pub -signature alairas.bin valami.exe

Persze az más kérdés, hogy a windows mit keres amikor egy telepítendő file-t ellenőriz. Nyilván megfelelő típusú aláírás kell és megfelelően csomagolni kell a dolgot. De ettől még az elv ugyan az: látatlanban is megelőlegezem, hogy a tool amit végül találtál szintén ezt a "hash and sign" elvet alkalmazza és nem közvetlenül a file-t írja alá, ahogy te eleinte próbáltad.

( Lenny | 2009. 02. 03., k – 17:08 )

http://www.natecarlson.com/linux/ipsec-l2tp.php#clientipsec

Ez alapján próbálnék VPN-t összehozni.

minden ok egészen a következő-ig:

# openssl pkcs12 -export -in winhost.example.com.pem -inkey winhost.example.com.key -certfile demoCA/cacert.pem -out winhost.example.com.p12
unable to load private key

Pedig a file ott van és le is van generálva. Mi baja lehet?