Comment puis-je liste / exportation de clés privées à partir d'un fichier de clés?

Comment puis-je liste et l'exportation d'une clé privée à partir d'un fichier de clés?

InformationsquelleAutor ScArcher2 | 2008-09-29

D'une portion de code à l'origine à partir de l'Exemple de Dépôt de la liste des alias dans un magasin de clés:

    //Load input stream into keystore
    keystore.load(is, password.toCharArray());

    //List the aliases
    Enumeration aliases = keystore.aliases();
    for (; aliases.hasMoreElements(); ) {
        String alias = (String)aliases.nextElement();

        //Does alias refer to a private key?
        boolean b = keystore.isKeyEntry(alias);

        //Does alias refer to a trusted certificate?
        b = keystore.isCertificateEntry(alias);
    }

L'exportation de clés privées, est apparu sur le Soleil forums il y a quelques mois, et u:turingcompleter est venu avec un DumpPrivateKey classe de couture dans votre application.

import java.io.FileInputStream;
import java.security.Key;
import java.security.KeyStore;
import sun.misc.BASE64Encoder;
public class DumpPrivateKey {
/**
* Provides the missing functionality of keytool
* that Apache needs for SSLCertificateKeyFile.
*
* @param args  <ul>
*              <li> [0] Keystore filename.
*              <li> [1] Keystore password.
*              <li> [2] alias
*              </ul>
*/
static public void main(String[] args)
throws Exception {
if(args.length < 3) {
throw new IllegalArgumentException("expected args: Keystore filename, Keystore password, alias, <key password: default same tha
n keystore");
}
final String keystoreName = args[0];
final String keystorePassword = args[1];
final String alias = args[2];
final String keyPassword = getKeyPassword(args,keystorePassword);
KeyStore ks = KeyStore.getInstance("jks");
ks.load(new FileInputStream(keystoreName), keystorePassword.toCharArray());
Key key = ks.getKey(alias, keyPassword.toCharArray());
String b64 = new BASE64Encoder().encode(key.getEncoded());
System.out.println("-----BEGIN PRIVATE KEY-----");
System.out.println(b64);
System.out.println("-----END PRIVATE KEY-----");
}
private static String getKeyPassword(final String[] args, final String keystorePassword)
{
String keyPassword = keystorePassword; //default case
if(args.length == 4) {
keyPassword = args[3];
}
return keyPassword;
}
}

Remarque: l'utilisation du forfait Sun, qui est une "mauvaise chose".

Si vous pouvez le télécharger apache commons code, voici une version qui compile sans warning:

javac -classpath .:commons-codec-1.4/commons-codec-1.4.jar DumpPrivateKey.java

et donnent le même résultat:

import java.io.FileInputStream;
import java.security.Key;
import java.security.KeyStore;
//import sun.misc.BASE64Encoder;
import org.apache.commons.codec.binary.Base64;
public class DumpPrivateKey {
/**
* Provides the missing functionality of keytool
* that Apache needs for SSLCertificateKeyFile.
*
* @param args  <ul>
*              <li> [0] Keystore filename.
*              <li> [1] Keystore password.
*              <li> [2] alias
*              </ul>
*/
static public void main(String[] args)
throws Exception {
if(args.length < 3) {
throw new IllegalArgumentException("expected args: Keystore filename, Keystore password, alias, <key password: default same tha
n keystore");
}
final String keystoreName = args[0];
final String keystorePassword = args[1];
final String alias = args[2];
final String keyPassword = getKeyPassword(args,keystorePassword);
KeyStore ks = KeyStore.getInstance("jks");
ks.load(new FileInputStream(keystoreName), keystorePassword.toCharArray());
Key key = ks.getKey(alias, keyPassword.toCharArray());
//String b64 = new BASE64Encoder().encode(key.getEncoded());
String b64 = new String(Base64.encodeBase64(key.getEncoded(),true));
System.out.println("-----BEGIN PRIVATE KEY-----");
System.out.println(b64);
System.out.println("-----END PRIVATE KEY-----");
}
private static String getKeyPassword(final String[] args, final String keystorePassword)
{
String keyPassword = keystorePassword; //default case
if(args.length == 4) {
keyPassword = args[3];
}
return keyPassword;
}
}

Vous pouvez l'utiliser comme ceci:

java -classpath .:commons-codec-1.4/commons-codec-1.4.jar DumpPrivateKey $HOME/.keystore changeit tomcat

Cela a très bien fonctionné. J'ai eu un client qui a créé une demande de certificat en utilisant le tomcat instructions, de sorte que la clé privée a été installé dans ils de magasin de clés. J'ai besoin de travailler avec apache.
Un an et un peu plus tard et vous avez résolu un autre problème (c'est à dire le mien). Good job!!! 🙂
En fait, Cela devrait être mis à jour avec un paramètre supplémentaire: [3] mot de passe de Clé et la ligne Key key = ks.getKey(args[2], args[1].toCharArray()); devrait lire Key key = ks.getKey(args[2], args[3].toCharArray());. Le code d'origine suppose que la CLÉ de mot de passe est le même que le mot de passe du fichier de clés, quand ils ne sont pas nécessairement identiques.
J'ai édité la réponse à inclure une version plus robuste de la clé dumper.
Le lien pour l'obtention de la liste des alias est apparemment mort maintenant. Pas sûr de ce qu'il était réellement contenant donc pas en mesure de trouver un remplaçant adéquat.
quelle valeur dois-je mettre pour args[3] , n'est-ce pas la clé alias lui-même ?
que faire si j'oublie args[3]
est le keyPassword (phrase de passe associé à la clé). Si vous n'incluez pas une quatrième argument, que la phrase serait le même que le mot de passe du fichier de clés (cas par défaut).
J'ai essayé cet exemple pour récupérer la keyPassword à partir d'un certificat, j'ai généré et ont oublié l'alias mot de passe. Cela peut ne pas être une partie de cette question, mais pouvez-vous me dire si c'est possible
Je ne suis pas sûr que vous pouvez retrouver un mot de passe, sauf si c'est celui par défaut (qui est "changeit")
Je sais que j'ai changé le mot de passe pour quelque chose d'autre et maintenant je ne m'en souviens pas , va pour la force brute et les attaques de dictionnaire maintenant pour rappeler mon propre passoword 🙁
Je serais curieux de savoir si ça fonctionne 🙂
Vous permettra de savoir si il n'
J'ai 2 certs avec le même pseudonyme. Si je reçois certs en boucle sur les alias de l'énumération, je reçois deux fois le même cert (plus récente). Je ne peux pas accéder à mon secont cert avec le même pseudonyme.

InformationsquelleAutor ConroyP

103

Vous pouvez extraire une clé privée à partir d'un fichier de clés avec Java6 et OpenSSL. Tout cela repose sur le fait que Java et le support OpenSSL PKCS#12 format des fichiers de clés. Pour faire de l'extraction, de la première utilisation de keytool pour convertir le format standard. Assurez-vous que vous utiliser le même mot de passe pour les deux fichiers (clé privée mot de passe, pas le mot de passe du fichier de clés) ou vous obtiendrez bizarre échecs plus tard, dans la deuxième étape.
```
keytool -importkeystore -srckeystore keystore.jks \
-destkeystore intermediate.p12 -deststoretype PKCS12
```
Ensuite, d'utiliser OpenSSL pour faire l'extraction de PEM:
```
openssl pkcs12 -in intermediate.p12 -out extracted.pem -nodes
```
Vous devriez être capable de gérer ce fichier PEM assez facilement; c'est du texte brut avec une codé non chiffrée de la clé privée et le certificat(s) à l'intérieur (dans une assez évident format).

Lorsque vous faites cela, prenez soin de garder les fichiers créés sécurisé. Ils contiennent du secret des informations d'identification. Rien ne vous avertira si vous ne parvenez pas à les fixer correctement. La méthode la plus simple pour sécuriser l'est de pouvoir faire tout cela dans un répertoire qui n'ont pas de droits d'accès pour toute personne autre que l'utilisateur. Et ne mettez jamais votre mot de passe sur la ligne de commande ou dans les variables d'environnement; il est trop facile pour les autres utilisateurs afin de saisir.
- L'histoire: Besoin aujourd'hui, donc, nous pourrions mettre wireshark entre un webservice Java client et un webservice Java server; il a travaillé comme un rêve et nous fixe notre bug (une config problème dans la gestion des cookies). J'ai pensé partager comme c'est pratique de ne pas avoir à écrire de code pour faire ce genre de chose, et beaucoup de gens ont déjà les outils nécessaires installé, contrairement à d'autres réponses.
- Awesome post. Well done monsieur!
- merci merci merci!!!
- “Assurez-vous d'utiliser le même mot de passe pour les fichiers [...] ou vous obtiendrez bizarre échecs” je CROIS que je VOUS AIME! -- Il fait sens pour moi que la nouvelle de stockage pourrait avoir un mot de passe différent. Pourquoi l'utilitaire keytool invites pour les deux mots de passe différents, si elle ne peut pas gérer leur être différent est au delà de moi.
- Aucune idée; il ajoute beaucoup de complexité pour seulement le plus marginal des prestations de la sécurité, étant donné que toute utilisation légitime va finir par avoir à traiter avec gestion des mots de passe de toute façon et c'est là le point faible dans une pratique cryptosystème se trouve généralement. “Nous allons l'exposer, parce que nous le pouvons!” semble être une caractéristique de nombreuses bibliothèques de chiffrement, et est sans doute pourquoi ils ont presque universellement une réputation terrifiante... Meh.
InformationsquelleAutor Donal Fellows
6

Si vous n'avez pas besoin de le faire par programmation, mais juste envie de gérer vos clés, puis j'ai utilisé IBM gratuit KeyMan outil pour un long moment maintenant. Très agréable pour l'exportation d'une clé privée dans un fichier PFX (alors vous pouvez facilement utiliser OpenSSL pour le manipuler, extraire, modifier mdp, etc).

https://www.ibm.com/developerworks/mydeveloperworks/groups/service/html/communityview?communityUuid=6fb00498-f6ea-4f65-bf0c-adc5bd0c5fcc

Sélectionnez votre fichier de clés, sélectionnez la clé privée de l'entrée, puis Fichier->Enregistrer dans un fichier pkcs12 (*.pfx, généralement). Vous pouvez ensuite afficher le contenu avec:

$ openssl pkcs12-in mykeyfile.pfx -info
- KeyMan lien de la page a changé de ibm.com/developerworks/mydeveloperworks/groups/service/html/... (ne jamais se terminant url 404/réécritures!)
- Le lien de téléchargement est dans le coin supérieur droit de la page. Vous aurez besoin d'un ID IBM... vous pouvez en créer un gratuitement. J'ai choisi de télécharger la première option postal. Pour le faire fonctionner sur Windows, vous avez besoin de décompresser en C:\Program Files\IBM\BlueZ\KeyMan, ou vous avez besoin de décompresser où vous voulez et modifier la première ligne de km.bat pour avoir le chemin d'accès au dossier qui contient km.chauve-souris. Ensuite, il suffit d'exécuter km.bat sans aucun argument. Devrait fonctionner aussi longtemps que java est sur votre chemin.
InformationsquelleAutor DustinB

Ici est une version plus courte du code ci-dessus, en Groovy. A également intégré dans le codage base64:

import java.security.Key
import java.security.KeyStore
if (args.length < 3)
throw new IllegalArgumentException('Expected args: <Keystore file> <Keystore format> <Keystore password> <alias> <key password>')
def keystoreName = args[0]
def keystoreFormat = args[1]
def keystorePassword = args[2]
def alias = args[3]
def keyPassword = args[4]
def keystore = KeyStore.getInstance(keystoreFormat)
keystore.load(new FileInputStream(keystoreName), keystorePassword.toCharArray())
def key = keystore.getKey(alias, keyPassword.toCharArray())
println "-----BEGIN PRIVATE KEY-----"
println key.getEncoded().encodeBase64()
println "-----END PRIVATE KEY-----"

InformationsquelleAutor jrk

4

Pour le développement android,
pour convertir le fichier de clés créés dans eclipse ADT dans la clé publique et la clé privée utilisée dans SignApk.jar:

exportation de la clé privée:
```
keytool.exe -importkeystore -srcstoretype JKS -srckeystore my-release-key.keystore -deststoretype PKCS12 -destkeystore keys.pk12.der
openssl.exe pkcs12 -in keys.pk12.der -nodes -out private.rsa.pem
```
modifier privé.rsa.pem et de laisser "-----COMMENCER le PRIVATE KEY-----" à "-----FIN de la CLÉ PRIVÉE-----" le paragraphe, puis:
```
openssl.exe base64 -d -in private.rsa.pem -out private.rsa.der
```
à l'exportation de la clé publique:
```
keytool.exe -exportcert -keystore my-release-key.keystore -storepass <KEYSTORE_PASSWORD> -alias alias_name -file public.x509.der
```
signe apk:
```
java -jar SignApk.jar public.x509.der private.rsa.der input.apk output.apk
```
- J'ai essayé ta suggestion cependant, il échoue à la première commande openssl -- il des rapports de déchiffrement des erreurs. Le fichier de clés d'origine, j'ai testé avec des routines utilisées avec jarsigner. L'échec qui s'est passé à la fois sous cygwin outils, ainsi que Fedora outils.
- Il a travaillé pour moi, j'ai cherché sur le web pour cette solution, grâce diyism
InformationsquelleAutor diyism
4

Cette question est venue sur stackexchange de sécurité, l'une des suggestions était d'utiliser L'explorateur de fichier de clés

https://security.stackexchange.com/questions/3779/how-can-i-export-my-private-key-from-a-java-keytool-keystore

Avoir juste essayé, il fonctionne vraiment bien et je le recommande vivement.

InformationsquelleAutor PhilDin
3

Tout d'abord, soyez prudent! Tous de votre sécurité dépend de la... euh... de confidentialité de votre clés privées. Keytool n'a pas de clé à l'exportation construit pour éviter la divulgation accidentelle de ce matériel sensible, de sorte que vous pourriez envisager de certaines garanties supplémentaires qui pourraient être mises en place pour protéger vos clés exportées.

Voici un code simple qui vous donne non chiffrés PKCS #8 PrivateKeyInfo qui peut être utilisé par OpenSSL (voir la -nocrypt option de son pkcs8 utilitaire):
```
KeyStore keys = ...
char[] password = ...
Enumeration<String> aliases = keys.aliases();
while (aliases.hasMoreElements()) {
String alias = aliases.nextElement();
if (!keys.isKeyEntry(alias))
continue;
Key key = keys.getKey(alias, password);
if ((key instanceof PrivateKey) && "PKCS#8".equals(key.getFormat())) {
/* Most PrivateKeys use this format, but check for safety. */
try (FileOutputStream os = new FileOutputStream(alias + ".key")) {
os.write(key.getEncoded());
os.flush();
}
}
}
```
Si vous avez besoin d'autres formats, vous pouvez utiliser un KeyFactory pour obtenir un transparent spécification de la clé pour les différents types de clés. Ensuite, vous pouvez obtenir, par exemple, l'exposant de la clé privée RSA et de sortie dans le format désiré. Qui ferait un bon sujet pour une question de suivi.

InformationsquelleAutor erickson
3

Un autre outil intéressant est l'Explorateur de fichier de clés: http://keystore-explorer.sourceforge.net/

InformationsquelleAutor Davio
1

Un autre moins conventionnelle, mais sans doute plus facile façon de le faire est avec JXplorer. Bien que cet outil est conçu pour parcourir les annuaires LDAP, il a un facile à utiliser l'interface graphique pour manipuler des fichiers de clés. Une telle fonction sur l'interface utilisateur peut exporter les clés privées d'un JKS keystore.
- Parce que j'ai un peu une erreur. C'est peut-être parce que mon fichier de clés dates de retour de ..........1900 ou donc. Le seul moyen à l'exportation est à l'aide de JXplorer. Merci! 🙂
InformationsquelleAutor Kkkev

Vous devez vous connecter pour publier un commentaire.