自堕落な技術者の日記 : 秘密鍵 - livedoor Blog（ブログ）

パスワードで保護されたPEM形式のPKCS#5 RSA秘密鍵を復号して取り出して署名なんかに使えるようなJavaScriptライブラリを作りたいと思ってるんですが、なんか現業が忙殺されておりそんな時間もなく。ただ、そんな事ではもうエンジニアとして詰んでいるなぁと思いリハビリのためにいろいろ調べてみることにしました。

パスワード保護されたPKCS#5 PEM形式の秘密鍵

OpenSSHの公開鍵認証や、OpenSSLベースでのCAや、Apacheサーバーの起動などでパスワード保護されたPKCS#5 PEM形式の公開鍵暗号の秘密鍵を使うことがあります。一般にはこんな感じのテキストファイルになってます。

-----BEGIN RSA PRIVATE KEY----- ←①PKCS#5 RSA秘密鍵を示すヘッダ
Proc-Type: 4,ENCRYPTED ←②共通鍵暗号で秘密鍵を暗号化していることを示す
DEK-Info: DES-EDE3-CBC,E83B4019057F55E9 ←③共通鍵暗号方式と、ソルトを含む初期化ベクタ

iIPs59nQn4RSd7ppch9/vNE7PfRSHLoQFmaAjaF0DxjV9oucznUjJq2gphAB2E2H ←④共通鍵で暗号化された秘密鍵本体
1r9k4e7lc7LZjF0RIgfeRl7MKmLHVCNo2EhPkt5yTb6bNdf3trS03+N+L5zBoaVp
以下、略

PEM形式の秘密鍵には"BEGIN RSA PRIVATE KEY"とか書いてあるやつと"BEGIN PRIVATE KEY"とか書いているやつがあるんですけど、それぞれPKCS#5形式とPKCS#8形式の公開鍵暗号の秘密鍵になります。 PKCS#5とPKCS#8の鍵形式の違いはざっとこんな感じ。

PKCS#5 秘密鍵

PEMヘッダに"BEGIN RSA PRIVATE KEY"のように公開鍵暗号アルゴリズムが書いてある。
鍵本体には公開鍵暗号鍵アルゴリズムを示す識別情報は書かれていないので PEMヘッダ側で区別する必要がある。

PKCS#8 秘密鍵

PEMヘッダは"BEGIN PRIVATE KEY"のように公開鍵暗号アルゴリズムが書いてない。
鍵本体には公開鍵暗号鍵アルゴリズムを示す識別情報がASN.1オブジェクト識別子(OID) で書かれている。
PKCS#8の鍵データは、PKCS#5の鍵本体とアルゴリズム識別子をまとめてASN.1オブジェクトとしたもの。

PKCS#5の秘密鍵にはその他に、暗号化されているかどうか、公開鍵暗号の秘密鍵をパスワードで保護するための共通鍵暗号のアルゴリズム、ソルトを含む初期化ベクタが書かれています。ソルトは同じパスワードを使っても共通鍵暗号の共通鍵が同じになってしまうことが無いように鍵の保存時につけられた8バイトの長さ固定の乱数です。共通鍵暗号のアルゴリズムや鍵長に依存して長さが含む「ソルトを含む初期化ベクタ」の先頭8バイト分をソルトとして使用します。

共通鍵暗号の共通鍵と初期ベクタIVはどうやって作るのか

秘密鍵を使うためのパスフレーズ(パスワード、PINコードとも呼ばれる)と、前述のソルトからどのように共通鍵と初期ベクタを生成するのかをOpenSSLのソースコードを眺めながら調べてみました。この処理を行う関数は "crypto/evp/evp_key.c" で定義されている "EVP_BytesToKey" という関数です。この関数は共通鍵と初期化ベクタ(IV)を同時に作るものですが、PKCS#5の鍵データを復号するためには生成された共通鍵のみを使い、初期化ベクタは関数より生成されたものではなく、PKCS#5ファイルのDEK-Infoに記載されたソルトを含む初期化ベクタ全体を使います。

パスフレーズとソルトからどのように共通鍵と初期ベクタ(IV)を生成するのかを図に書いてみました。
EVP_BytesToKey

基本的にはパスフレーズの文字列とソルトからMD5ハッシュアルゴリズムのハッシュ値を計算し、定められた長さを切り出して共通鍵とIVを取得します。今なおMD5固定で使われているというのはうーむという感じですね。

共通鍵と初期ベクタIVをOpenSSLコマンドで簡単に見るには

「公開鍵暗号の秘密鍵」を最終的に保護する「共通鍵暗号の共通鍵」と「初期ベクタIV」は、暗号化対象の秘密鍵の値には一切関係なく、単に共通鍵暗号アルゴリズムとパスコードとソルトのみで決まり、簡単にOpenSSLのコマンドで見ることができます。

例えば、共通鍵暗号がトリプルDES(DES-EDE3-CBC)で、パスコードが "hoge" で、ソルトが "E83B4019057F55E9" であったときの、共通鍵と初期ベクタは以下のコマンドで表示されます。

% openssl 共通鍵暗号 -p -in /dev/null -out /dev/null -pass pass:パスフレーズ -S 8バイト16進数ソルト
(例)
% openssl des-ede3-cbc -p -in /dev/null -out /dev/null -pass pass:hoge -S 1F2F3F4F5F6F7F8F
salt=1F2F3F4F5F6F7F8F
key=BD2B936A94EA6C2E0D15CD066C008F1F88735EE491687A29
iv =C180CD24D8B03454 (このIVは復号には使わない)

読みにくいOpenSSLのCのコード解析の後で

さんざん、読みにくい難解なOpenSSLのCのソースコードを読んだあとで、その鍵と初期化ベクタを取得する EVP_BytesToKey関数をPythonで書き直してくれている yasusii さんという方がいらっしゃいました。「Discreet Blog 25.6.2007 - OpenSSLのPBE(Password Based Encryption) (2007-06-25)」、先にこの記事見ときゃよかったorz

これで、なんとなくJavaScriptでPKCS#5鍵を解いてRSA署名するなんてことができるような気がしてきました。今日はこんなところで。