NOM¶
pkeyutl - Utilitaire d’algorithme à clef publique
SYNOPSIS¶
openssl pkeyutl [
-in fichier] [
-out
fichier] [
-sigfile fichier] [
-inkey
fichier] [
-keyform PEM|
DER] [
-passin
param] [
-peerkey fichier] [
-peerform
PEM|
DER] [
-pubin] [
-certin] [
-rev]
[
-sign] [
-verify] [
-verifyrecover] [
-encrypt]
[
-decrypt] [
-derive] [
-pkeyopt
opt:valeur] [
-hexdump] [
-asn1parse]
[
-engine identifiant]
DESCRIPTION¶
La commande
pkeyutl peut être utilisée pour réaliser
des opérations de clef publique en utilisant n’importe quel
algorithme pris en charge.
OPTIONS DE LA COMMANDE¶
- -in fichier
- Cela indique le nom de fichier d'entrée où lire les
données. Par défaut, si cette option n'est pas fournie, les
données sont lues depuis l'entrée standard.
- -out fichier
- Le nom du fichier de sortie. Par défaut, la sortie standard est
utilisée.
- -inkey fichier
- Le fichier avec la clef d'entrée. Par défaut, ce devrait
être une clef privée.
- -keyform PEM|DER
- Le format de clef PEM, DER ou ENGINE.
- -passin param
- La source de mot de passe d'entrée. Pour plus de renseignements sur
le format de param, consultez la section PARAMÈTRES DE
PHRASE SECRÈTE d' openssl(1).
- -peerkey fichier
- La clef de pair, utilisée par les opérations de
dérivation (échange) de clef.
- -peerform PEM|DER
- Le format de clef de pair PEM, DER ou ENGINE.
- -engine identifiant
- L’indication d’un moteur (en utilisant son identifiant
unique identifiant) forcera pkeyutl à essayer
d'obtenir une référence fonctionnelle pour le moteur
indiqué et à l'initialiser si nécessaire. Le moteur
sera ensuite utilisé par défaut pour tous les algorithmes
disponibles.
- -pubin
- Le fichier d'entrée est une clef publique.
- -certin
- Le fichier d'entrée est un certificat contenant une clef
publique.
- -rev
- Inverser l’ordre du tampon d’entrée. C’est
utile pour certaines bibliothèques (comme CryptAPI) qui
représentent le tampon au format petit-boutiste.
- -sign
- Signer les données d'entrée et fournir le résultat
chiffré. Cela nécessite une clef privée.
- -verify
- Vérifier les données d’entrée par rapport au
fichier de signature et indiquer si la vérification a réussi
ou échoué.
- -verifyrecover
- Vérifier les données d'entrée et fournir les
données récupérées.
- -encrypt
- Chiffrer les données d'entrée en utilisant une clef
publique.
- -decrypt
- Déchiffrer les données d'entrée en utilisant une clef
privée.
- -derive
- Dériver un secret partagé en utilisant la clef de pair.
- -hexdump
- Affichage hexadécimal des données de sortie.
- -asn1parse
- Analyser les données de sortie avec asn1parse. C'est utile
lorsqu'elle est associée à l'option -verifyrecover
quand une structure ASN1 est signée.
NOTES¶
Les opérations et options prises en charge varient en fonction de
l’algorithme et de son implémentation. Les opérations et
options d’OpenSSL sont indiquées ci-dessous.
Sauf mention contraire, tous les algorithmes prennent en charge l’option
digest:alg qui indique l’algorithme à utiliser
pour les opérations de signature, vérification et verifyrecover.
La valeur
alg devrait représenter un nom d’algorithme tel
qu’utilisé dans la fonction
EVP_get_digestbyname(), par
exemple
sha1.
ALGORITHME RSA¶
L’algorithme RSA prend en charge généralement les
opérations de chiffrement, déchiffrement, signature,
vérification et verifyrecover. Certains modes de remplissage ne
prennent cependant en charge qu’une partie de ces opérations.
- rsa_padding_mode:mode
- Cela définit le mode de remplissage RSA. Les valeurs possibles de
mode sont pkcs1 pour un remplissage PKCS#1, sslv23
pour un remplissage SSLv23, none pour une absence de remplissage,
oaep pour le mode OAEP, x931 pour le mode X9.31 et
pss pour PSS.
En remplissage PKCS#1, si l’algorithme de signature de message
n’est pas défini, alors les données fournies sont
signées ou vérifiées directement au lieu
d’utiliser une structure DigestInfo. Si un algorithme de
signature est défini, alors une structure DigestInfo est
utilisée et sa taille doit correspondre au type d’algorithme
de signature.
Pour le mode oeap, seul le chiffrement et le déchiffrement
sont pris en charge.
Pour x931, si le type d’algorithme de signature est
défini, il est utilisé pour formater les données de
bloc, sinon le premier octet est utilisé pour indiquer
l’identifiant d’algorithme de signature X9.31. Signature,
vérification et verifyrecover peuvent être
réalisées dans ce mode.
Pour le mode oeap, seules la signature et la vérification sont
prises en charge et le type d’algorithme de signature doit
être indiqué.
- rsa_pss_saltlen:len
- Pour le mode pss, seule cette option indique la taille de sel. Deux
valeurs spéciales sont prises en charge : -1
définit la taille de sel à la taille de l’algorithme
de signature. Lors de la vérification, -2 définit la
taille de sel à la valeur maximale permise. Lors de la
vérification, -2 force la taille de sel à être
automatiquement déterminée à partir de la structure
de bloc PSS.
ALGORITHME DSA¶
L’algorithme DSA ne permet que les opérations de signature et de
vérification. La seule option supplémentaire actuellement est
digest. Seul l’algorithme de signature SHA1 peut être
utilisé et cet algorithme de signature est considéré par
défaut.
ALGORITHME DH¶
L’algorithme DH ne permet que l’opération de
dérivation et aucune option supplémentaire.
ALGORITHME EC¶
L’algorithme EC prend en charge les opérations de signature,
vérification et dérivation. Les opérations de signature
et vérification utilisent ECDSA et la dérivation utilise ECDH.
Il n’y a actuellement aucune option supplémentaire à part
digest. Seul l’algorithme de signature SHA1 peut être
utilisé et cet algorithme de signature est considéré par
défaut.
EXEMPLES¶
Signer des données en utilisant une clef privée :
openssl pkeyutl -sign -in fichier -inkey clef.pem -out sig
Récupérer les données signées (par exemple si une
clef RSA est utilisée) :
openssl pkeyutl -verifyrecover -in sig -inkey clef.pem
Vérifier la signature (par exemple d'une clef DSA) :
openssl pkeyutl -verify -in fichier -sigfile sig -inkey clef.pem
Signer des données en utilisant une valeur d’algorithme de
signature de message (ce n’est actuellement possible qu’avec
RSA) :
openssl pkeyutl -sign -in fichier -inkey clef.pem -out sig
-pkeyopt digest:sha256
Dériver une valeur de secret partagé :
openssl pkeyutl -derive -inkey clef.pem -peerkey clefpub.pem -out secret
VOIR AUSSI¶
genpkey(1),
pkey(1),
rsautl(1) dgst(1),
rsa(1),
genrsa(1)
TRADUCTION¶
La traduction de cette page de manuel est maintenue par les membres de la liste
<debian-l10n-french AT lists DOT debian DOT org>. Veuillez signaler
toute erreur de traduction par un rapport de bogue sur le paquet
manpages-fr-extra.