logo标签列表

使用OpenSSL生成密钥对

delphiopensslrsadelphi-10.2-tokyo
4
我正在使用delphiopenssl包装器生成.pem格式密钥文件。我正在使用生成RSA密钥示例生成这些密钥。 我需要的 两天前,我希望找到一个简单的方法来生成RSA密钥并将它们用于加密/解密一些字符串或TBytes缓冲区。现在,在搜索了每一个可能的解决方案后,我决定使用OpenSSL来完成这项工作。 我的问题 问题是我无法按照函数中输入的文件名创建文件。但我仍然得到一个名为'C'或'm'(没有扩展名)的文件,其中包含PEM格式的公钥和私钥,更奇怪的是,我给函数提供了两个文件名用于公钥和私钥。 我尝试过的
  • 我试图查找使用的openssl方法的文档,以便知道如何调试,但没有成功。
  • 我尝试使用Openssl.exe命令行来做同样的事情,它可以工作,所以我知道这不是openssl的bug。
  • 起初,我无法编译代码,因为出现了[dcc32 Error] CryptoUtils.pas(399): E2010 Incompatible types: 'PAnsiChar' and 'PWideChar'错误,我的解决方案是在需要的地方进行类型转换为PAnsiChar,并确保所有输入都是ansistring,所以我可以尝试非Unicode测试,但没有成功。
  • 当我调试时,文件名一直到函数调用处,我得到0作为结果(在模糊的文档中,0表示成功),但我总是得到相同的结果(输出目录中的C或M文件名)。
  • 我试图寻找其他语言的实现和文档,但仍然没有真正的解决方案,每个人都神奇地解决了它而没有问题。

这是负责的代码

procedure GenerateKeyPair;
var
  kp: TKeyPairGenerator;
begin
kp := TKeyPairGenerator.Create;
kp.KeyFileNames(GetCurrentDir + '\mykeys');  // it create a pair c:\temp\mykeys.key
                                    // and c:\temp\mykeys.pub
kp.Password := 'mypasswd';          // Required
kp.GenerateRSA;
end;


procedure TMainForm.Button2Click(Sender: TObject);
begin
  InitOpenSSL;

  GenerateKeyPair;

  FreeOpenSSL;
end;

function TKeyPairGenerator.GenerateRSA: Integer;
var
  rsa: pRSA;
  PrivateKeyOut, PublicKeyOut, ErrMsg: pBIO;
  buff: array [0..1023] of char;
  enc: pEVP_CIPHER;

begin

Result := 0;

if (fPrivateKeyFile = '') or (fPublicKeyFile = '') then
  raise EOpenSSL.Create('Key filenames must be specified.');
if (fPassword = '') then
  raise EOpenSSL.Create('A password must be specified.');

ERR_load_crypto_strings;
OpenSSL_add_all_ciphers;

enc := EVP_des_ede3_cbc; ///??????

// Load a pseudo random file
RAND_load_file(PAnsiChar(fSeedFile), -1);

rsa := RSA_generate_key(fKeyLength, RSA_F4, nil, ErrMsg);
if rsa=nil then
  begin
  BIO_reset(ErrMsg);
  BIO_read(ErrMsg, @buff, 1024);
  raise EOpenSSL.Create(PChar(@buff));
  end;

PrivateKeyOut := BIO_new(BIO_s_file());
if BIO_write_filename(PrivateKeyOut, PAnsiChar(fPrivateKeyFile)) <> 0 then Result := - 1; // I get a 1 here meaning failure whit out any useful info
PublicKeyOut := BIO_new(BIO_s_file());
if BIO_write_filename(PublicKeyOut, PAnsiChar(fPublicKeyFile)) <> 0 then Result := ERR_peek_last_error; // ERR_peek_last_error returns 0

PEM_write_bio_RSAPrivateKey(PrivateKeyOut, rsa, enc, nil, 0, nil, PChar(fPassword));
PEM_write_bio_RSAPublicKey(PublicKeyOut, rsa);

if rsa <> nil then RSA_free(rsa);
if PrivateKeyOut <> nil then BIO_free_all(PrivateKeyOut);
if PublicKeyOut <> nil then BIO_free_all(PublicKeyOut);
end;

这是名为 C 的文件的内容

-----BEGIN RSA PUBLIC KEY-----
MIIBBgKB/gC1aSSL+rlH/owIISeoNNO9mVmlPfWVsnRloFUHlYQMZyVovcTHZZhd
CvweTjMlwRHTqNAnX3CpFSwjcf5FVyiB7qoWQHDXlTSLD4kFQzUfGVTorwuB1jii
Su3tt3GCJE//xE5RWrsAIETuxIk2ZSkf4T0htAu44gBbup7CT4cSOaUeTr6/D9WL
xl+jGCi9d4oG+JkVJ21VHl1O5/UG4HRKiKx+PfNrBZvR4COVzYV6clXv7fd2EZo7
Gbz/d3yUG9jVMuQmbSDA0Ew3vE9iYTIpXeGSM1aZKgkOWqehO7b8yIqhmUbW2Yl5
sydL/xx7WEsQuTqvPST1lkpfdyIpAgMBAAE=
-----END RSA PUBLIC KEY-----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-----END RSA PRIVATE KEY-----

我有一个问题,如何解决这个问题或者有没有关于这些方法的文档可以阅读。
从Indy服务器获取OpenSSL版本1.0.2。
顺便提一句,我提交了一个功能请求(System.Cryptography),对于有兴趣投票的人来说。
我怀疑它是否是你问题的原因,但是 GetCurrentDir + '\mykeys' 看起来像一个正在等待发生意外的事情。例如,如果应用程序对 GetCurrentDir 返回的位置具有不足的权限,会发生什么? - MartynA
@MartynA 我正在从文档目录运行应用程序,所以没问题。我从来不使用这种类型的代码,真实产品名称的路径是Unicode格式的。正如我所说,因为要进行PAnsiChar类型转换测试,所以我尝试进行非Unicode测试。 - Nasreddine Galfout
2个回答
3
这是我对所提问题的解决方案。
问题:生成RSA密钥对(公钥/私钥),并从文件、流甚至一个TBytes缓冲区中读取它们。
找到的解决方案:
  • 你能在谷歌上找到的第一件事(google)是Delphi Turbo Pack LockBox,但问题在于它不支持1048位以上的密钥大小(写作时),这远远低于当前最小密钥大小(2048,写作时),因此你可以从可能的解决方案中省略它(尽管它具有我需要的本地实现)。
  • 一个CryptoAPI包装器。这个想法很棒,因为你有机会使用Microsoft自己的Crypto Library,这将使部署更容易(因为它内置于操作系统中)。然而,对Pascal的支持很少(它是用c++编写的),需要大量工作来支持和维护,并且不跨平台。

  • 一个OpenSSL包装器。现在这是一个很棒的想法,因为该库已经被一个伟大的开源项目Indy使用,并且搜索其他开源项目会有更高的成功可能性

    1. zizzo81/delphiopenssl有自己的OpenSSL包装器和出色的演示文稿,但正如问题所述,在该源代码中存在一个或两个问题,我无法在GitHub上发布问题,其中一个很好的原因是该项目未得到维护,它只是从旧网站导入的版本。
    2. lminuti/Delphi-OpenSSL基于Indy Wrappers IdSSLOpenSSLHeaders.pas,并为此问题提供了基本功能(加密/解密但不生成)。

最终解决方案:

最后我需要为lminuti/Delphi-OpenSSL添加一些内容才能完成,感谢allen-drennan对这个问题的回答,非常容易。

我还分叉lminuti/Delphi-OpenSSL来展示与此问题相关的更改(该分支包含一个准备好的教程,用于解决此问题)

我发现并修复的漏洞:目前基础项目中的包装器使用 PEM_read_bio_PubKey来读取传统PEM格式的公钥文件(这不再是标准),同时还使用 PEM_write_bio_RSAPrivateKey,这也已经过时了(目前我还没有修复它)。

我发现有用的参考资料:

非常感谢您提供详细的解决方案!经过3年,Indy仍然停留在OpenSSL 1.0上,而现在推荐使用的版本是3.0。*(1.1版本也将在2023年9月后被弃用)。*您知道是否有任何与SSL 3.0兼容的库吗? - SzakiLaci
@SzakiLaci 对于新的开发和使用REST API,我建议使用标准控件THTTPClient。对于WebSocket,有一个付费库非常适合这个用途。 - Nasreddine Galfout
1
@ SzakiLaci 还有这个 http://wiki.overbyte.eu/wiki/index.php/ICS_Download - Nasreddine Galfout
3

我通常使用PEM_write_bio_* API分别创建公钥和私钥,以创建TBytes。一旦你拥有了公钥和私钥的TBytes,就可以使用Delphi的System.IOUtils单元中的TFile.WriteAllBytes()将TBytes保存到文件中。

function CreateCertificate_PKCS(out APublicKey, APrivateKey: TBytes): Boolean;
var
  Bignum: PBIGNUM;
  RSA: PRSA;
  PrivateKey, PublicKey: PBIO;
  KeyLength: Integer;
begin
  Result := False;
  Bignum := BN_new();
  try
    if BN_set_word(Bignum, RSA_F4) = 1 then
    begin
      RSA := RSA_new;
      try
        if RSA_generate_key_ex(RSA, 2048, Bignum, nil) = 1 then
        begin
          { Write the public key }
          PublicKey := BIO_new(BIO_s_mem);
          try
            PEM_write_bio_RSAPublicKey(PublicKey, RSA);
            KeyLength := BIO_pending(PublicKey);
            SetLength(APublicKey, KeyLength);
            BIO_read(PublicKey, @APublicKey[0], KeyLength);
          finally
            BIO_free(PublicKey);
          end;

          { Write the private key }
          PrivateKey := BIO_new(BIO_s_mem);
          try
            PEM_write_bio_RSAPrivateKey(PrivateKey, RSA, nil, nil, 0, nil, nil);
            KeyLength := BIO_pending(PrivateKey);
            SetLength(APrivateKey, KeyLength);
            BIO_read(PrivateKey, @APrivateKey[0], KeyLength);
          finally
            BIO_free(PrivateKey);
          end;

          Result := True;
        end;
      finally
        RSA_free(RSA);
      end;
    end;
  finally
    BN_free(Bignum);
  end;
end;
谢谢,我现在用手机,我会尝试这个并回复你。 - Nasreddine Galfout
你在这个例子中使用了 IdSSLOpenSSLHeaders.pas 吗? - Nasreddine Galfout
是的,这对于indy头文件有效,并且适用于openssl的1.0.x和1.1.x版本。如果要仅使用Indy头文件IdSSLOpenSSLHeaders,则可能需要在使用该例程之前调用Load()函数。 - Allen Drennan
非常感谢您,您解决了我很多的压力。我将为未来的读者编写一个详细的答案,说明我如何使用您的代码解决了我的问题(生成、加密、解密)。 - Nasreddine Galfout
很高兴它帮助你解决了问题。我通常避免使用库API来读写磁盘,因为你永远不知道它们如何处理写入错误、文件名和路径。最好自己处理。 - Allen Drennan
Allen看了我的回答。我希望在GitHub存储库中使用你的代码不会有问题,再次感谢。 - Nasreddine Galfout
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接