Два разных секретных ключа

Question

Я пытаюсь подписать цифровую подпись, а затем проверить подлинность AuthnRequest. Я сгенерировал секретный ключ и сертификат открытого ключа с помощью следующих команд:

openssl genrsa -out privatekey.pem 2048 
openssl req -new -x509 -key privatekey.pem -out publickey.cer -days 365 
openssl pkcs12 -export -out public_privatekey.pfx -inkey privatekey.pem -in publickey.cer 

преобразовал PFX JKS в следующей команде:

keytool -importkeystore -srckeystore public_privatekey.pfx -srcstoretype pkcs12 
-destkeystore clientcert.jks -deststoretype JKS 

, и я доступ, что закрытый ключ входа и общественности сертификат ключа, используя следующий код Java:

KeyStore ks = KeyStore.getInstance("JKS"); 
ks.load(new FileInputStream(keystoreFile), "dps123!@#".toCharArray()); 

KeyStore.PrivateKeyEntry keyEntry = (KeyStore.PrivateKeyEntry) ks.getEntry("1", new KeyStore.PasswordProtection("dps123!@#".toCharArray())); 
java.security.cert.X509Certificate cert = (java.security.cert.X509Certificate) keyEntry.getCertificate(); 

Я должен напечатать значение закрытого ключа на консоль следующим:

String key = Base64.encode(keyEntry.getPrivateKey().getEncoded()); 
System.out.println(key); 

Когда я сравниваю содержимое строки «ключ» и содержимое в файле «privatekey.pem», оба они разные. Является ли это чем-то, что я неправильно понимаю, или возникает проблема получения значения секретного ключа в коде?

Answer 1

Существует несколько форматов хранения секретных ключей. Среди них PKCS#1 и PKCS#8. Они отличаются алгоритмами шифрования и структурой ASN.1. Кроме того, PKCS # 8 поддерживает другие ключевые алгоритмы, кроме RSA.

Например это ASN.1 дамп первых байт незашифрованного PKCS # 8 Файл:

0000 4BE: SEQUENCE { 
0004 1: INTEGER 0 
0007 D: SEQUENCE { 
0009 9:  OBJECT IDENTIFIER rsaEncryption (1 2 840 113549 1 1 1) 
     :  (PKCS #1) 
0014 0:  NULL 
     :  } 
0016 4A8: OCTET STRING, encapsulates { 
001A 4A4:  SEQUENCE { 
001E 1:  INTEGER 0 
0021 101:  INTEGER  
     :   00 B3 17 E6 31 3C 36 24 ....1<6$ 

И тот же ключ в PKCS формат # 1 (опять же только первые несколько байт, остальная часть файла в основном сырой ключ):

0000 4A4: SEQUENCE { 
0004 1: INTEGER 0 
0007 101: INTEGER  
     :  00 B3 17 E6 31 3C 36 24 ....1<6$ 

Этот сайт содержит более подробное объяснение этих двух форматов: https://tls.mbed.org/kb/cryptography/asn1-key-structures-in-der-and-pem

Java обычно генерирует формат PKCS # 8, в то время как OpenSSL поддерживает оба формата и может конвертировать между ними: https://www.openssl.org/docs/apps/pkcs8.html

KeyStore Explorer также может генерировать, обрабатывать и преобразовывать оба формата.

Итак, если преобразовать privatekey.pem в PKCS # 8 с OpenSSL или KSE, он должен выглядеть идентично выходу System.out.println(key):

openssl pkcs8 -topk8 -in privatekey.pem -out privatekey.pkcs8 -nocrypt 

Answer 2

String key = Base64.getEncoder().encodeToString(keyEntry.getPrivateKey().getEncoded()); 

Answer 3

Сложно сказать, какая кодировка будет использовать ваш Java-провайдер. Кроме того, когда вы сравниваете файл «privatekey.pem», как вы получаете контент?

не имеют прямого решения, но некоторые предложения ниже:

Распечатайте PEM

> openssl -in privatekey.pem -outform <DER/PEM> 

Где-то в печати будет base64 закодированного секретного ключа.

Также попробуйте проверить поставщика JCE, который его использует.