Я пишу собственный движок OpenSSL, используя Windows CNG API. При реализации EVP_PKEY_meths для генерации и использования ключей ECDH я столкнулся с проблемой преобразования ключей из OpenSSL EVP_PKEY в CNG BCRYPT_KEY и наоборот. Я сталкиваюсь с этим сценарием при реализации функций Keygen и Derive. Есть ли простой способ выполнить эти преобразования?
Как преобразовать ключ CNG в OpenSSL EVP_PKEY (и наоборот)?
Ответы (1)
Я сделал это только с закрытыми ключами RSA, но я предполагаю, что другие типы (например, ECC) будут следовать тому же принципу экспорта ключевых параметров и их импорта.
Я использую BCryptExportKey для экспорта данные закрытого ключа и BCryptImportKeyPair для импортировать данные на стороне win32. На стороне openssl я использую вызовы типа "set" для установки ключевых данных, таких как "RSA_set0_crt_params", чтобы настроить ключ RSA.
Вот мой пример преобразования BCRYPT_KEY_HANDLE для закрытого ключа RSA в EVP_PKEY. Обратное аналогично. Это не отвечает вашему конкретному требованию ECDH, но я предполагаю, что это примерно то же самое, если вы имеете дело с деталями закрытого/открытого ключа ECC вместо деталей ключа RSA.
EVP_PKEY* extract_private_key(const BCRYPT_KEY_HANDLE key_handle)
{
EVP_PKEY* pkey = nullptr;
DWORD length = 0;
if(SUCCEEDED(BCryptExportKey(key_handle, NULL, BCRYPT_RSAFULLPRIVATE_BLOB, nullptr, 0, &length, 0)))
{
auto data = std::make_unique<BYTE[]>(length);
if(SUCCEEDED(BCryptExportKey(key_handle, NULL, BCRYPT_RSAFULLPRIVATE_BLOB, data.get(), length, &length, 0)))
{
// https://docs.microsoft.com/en-us/windows/desktop/api/bcrypt/ns-bcrypt-_bcrypt_rsakey_blob
auto const blob = reinterpret_cast<BCRYPT_RSAKEY_BLOB*>(data.get());
if(blob->Magic == BCRYPT_RSAFULLPRIVATE_MAGIC)
{
auto rsa = RSA_new();
// n is the modulus common to both public and private key
auto const n = BN_bin2bn(data.get() + sizeof(BCRYPT_RSAKEY_BLOB) + blob->cbPublicExp, blob->cbModulus, nullptr);
// e is the public exponent
auto const e = BN_bin2bn(data.get() + sizeof(BCRYPT_RSAKEY_BLOB), blob->cbPublicExp, nullptr);
// d is the private exponent
auto const d = BN_bin2bn(data.get() + sizeof(BCRYPT_RSAKEY_BLOB) + blob->cbPublicExp + blob->cbModulus + blob->cbPrime1 + blob->cbPrime2 + blob->cbPrime1 + blob->cbPrime2 + blob->cbPrime1, blob->cbModulus, nullptr);
RSA_set0_key(rsa, n, e, d);
// p and q are the first and second factor of n
auto const p = BN_bin2bn(data.get() + sizeof(BCRYPT_RSAKEY_BLOB) + blob->cbPublicExp + blob->cbModulus, blob->cbPrime1, nullptr);
auto const q = BN_bin2bn(data.get() + sizeof(BCRYPT_RSAKEY_BLOB) + blob->cbPublicExp + blob->cbModulus + blob->cbPrime1, blob->cbPrime2, nullptr);
RSA_set0_factors(rsa, p, q);
// dmp1, dmq1 and iqmp are the exponents and coefficient for CRT calculations
auto const dmp1 = BN_bin2bn(data.get() + sizeof(BCRYPT_RSAKEY_BLOB) + blob->cbPublicExp + blob->cbModulus + blob->cbPrime1 + blob->cbPrime2, blob->cbPrime1, nullptr);
auto const dmq1 = BN_bin2bn(data.get() + sizeof(BCRYPT_RSAKEY_BLOB) + blob->cbPublicExp + blob->cbModulus + blob->cbPrime1 + blob->cbPrime2 + blob->cbPrime1, blob->cbPrime2, nullptr);
auto const iqmp = BN_bin2bn(data.get() + sizeof(BCRYPT_RSAKEY_BLOB) + blob->cbPublicExp + blob->cbModulus + blob->cbPrime1 + blob->cbPrime2 + blob->cbPrime1 + blob->cbPrime2, blob->cbPrime1, nullptr);
RSA_set0_crt_params(rsa, dmp1, dmq1, iqmp);
pkey = EVP_PKEY_new();
// ownership of rsa transferred to pkey
EVP_PKEY_assign_RSA(pkey, rsa);
}
}
}
return pkey;
}
person
Shane Powell
schedule
15.12.2019
Большое спасибо, способ ECC очень близок к вашему ответу. Как только у меня будет время, я опубликую свое решение, чтобы помочь другим.
- person themadking; 08.02.2020
@themadking можете опубликовать свое решение?
- person abhiarora; 19.02.2021
Я не хочу экспортировать ключ в файл, потому что он будет содержать безопасность. Мы хотим преобразовать дескриптор.
- person abhiarora; 19.02.2021
