Comment puis-je obtenir SecKeyRef de DER/fichier PEM

J'ai besoin d'intégrer mon iPhone avec un système, et ils ont besoin de chiffrer des données à une clé publique, il y a 3 fichiers 3 format différent .xml .der et .pem, j'ai fait des recherches et trouvé quelques articles sur la prise en SecKeyRef de DER/PEM, mais ils sont toujours retourner nil. Ci-dessous mon code:

NSString *pkFilePath = [[NSBundle mainBundle] pathForResource:@"PKFile" ofType:@"der"];
NSData *pkData = [NSData dataWithContentsOfFile:pkFilePath]; 

SecCertificateRef   cert; 
cert = SecCertificateCreateWithData(NULL, (CFDataRef) pkData);
assert(cert != NULL);

OSStatus err;

    if (cert != NULL) {
        err = SecItemAdd(
                         (CFDictionaryRef) [NSDictionary dictionaryWithObjectsAndKeys:
                                            (id) kSecClassCertificate,  kSecClass, 
                                            (id) cert,                  kSecValueRef,
                                            nil
                                            ], 
                         NULL
                         );
        if ( (err == errSecSuccess) || (err == errSecDuplicateItem) ) {
            CFArrayRef certs = CFArrayCreate(kCFAllocatorDefault, (const void **) &cert, 1, NULL); 
            SecPolicyRef policy = SecPolicyCreateBasicX509();
            SecTrustRef trust;
            SecTrustCreateWithCertificates(certs, policy, &trust);
            SecTrustResultType trustResult;
            SecTrustEvaluate(trust, &trustResult);
            if (certs) {
                CFRelease(certs);
            }
            if (trust) {
                CFRelease(trust);
            }
            return SecTrustCopyPublicKey(trust);
        }
    }
return NULL;

Problème se pose à SecCertificateCreateWithData, il est toujours retourner nil même par lire le fichier est ok.
Quelqu'un a fait cela s'il vous plaît aidez-moi, merci!

EDIT: Le cert fichier MD5 signature.

InformationsquelleAutor Son Nguyen | 2012-05-14
  1. 54

    J'ai eu beaucoup de mal avec le même problème et a finalement trouvé une solution. Mon problème était que j'avais besoin d'utiliser un externe privée et une clé publique pour le chiffrement/déchiffrement des données dans une application iOS et je ne voulais pas utiliser le trousseau.
    Il s'avère que vous avez également besoin d'un certificat signé pour le iOS la bibliothèque de sécurité pour être en mesure de lire les données de la clé et bien sûr, les fichiers doivent être dans le format correct.
    La procédure est essentiellement comme suit:

    Dire que vous avez une clé privée au format PEM (avec l' -----BEGIN RSA PRIVATE KEY----- et -----END RSA PRIVATE KEY----- marqueurs): rsaPrivate.pem 

    //Create a certificate signing request with the private key
openssl req -new -key rsaPrivate.pem -out rsaCertReq.csr

//Create a self-signed certificate with the private key and signing request
openssl x509 -req -days 3650 -in rsaCertReq.csr -signkey rsaPrivate.pem -out rsaCert.crt

//Convert the certificate to DER format: the certificate contains the public key
openssl x509 -outform der -in rsaCert.crt -out rsaCert.der

//Export the private key and certificate to p12 file
openssl pkcs12 -export -out rsaPrivate.p12 -inkey rsaPrivate.pem -in rsaCert.crt

    Maintenant, vous avez deux fichiers qui sont compatibles avec l'iOS cadre de sécurité: rsaCert.der (clé publique) et rsaPrivate.p12 (clé privée). Le code ci-dessous se lit dans la clé publique en supposant que le fichier est ajouté à votre bundle:

    - (SecKeyRef)getPublicKeyRef {

    NSString *resourcePath = [[NSBundle mainBundle] pathForResource:@"rsaCert" ofType:@"der"];
    NSData *certData = [NSData dataWithContentsOfFile:resourcePath];
    SecCertificateRef cert = SecCertificateCreateWithData(NULL, (CFDataRef)certData);
    SecKeyRef key = NULL;
    SecTrustRef trust = NULL;
    SecPolicyRef policy = NULL;

    if (cert != NULL) {
        policy = SecPolicyCreateBasicX509();
        if (policy) {
            if (SecTrustCreateWithCertificates((CFTypeRef)cert, policy, &trust) == noErr) {
                SecTrustResultType result;
                OSStatus res = SecTrustEvaluate(trust, &result);

                //Check the result of the trust evaluation rather than the result of the API invocation.
                if (result == kSecTrustResultProceed || result == kSecTrustResultUnspecified) {
                    key = SecTrustCopyPublicKey(trust);
                }
            }
        }
    }
    if (policy) CFRelease(policy);
    if (trust) CFRelease(trust);
    if (cert) CFRelease(cert);
    return key;
}

    À lire dans la clé privée d'utiliser le code suivant:

    SecKeyRef getPrivateKeyRef() {
    NSString *resourcePath = [[NSBundle mainBundle] pathForResource:@"rsaPrivate" ofType:@"p12"];
    NSData *p12Data = [NSData dataWithContentsOfFile:resourcePath];

    NSMutableDictionary * options = [[NSMutableDictionary alloc] init];

    SecKeyRef privateKeyRef = NULL;

    //change to the actual password you used here
    [options setObject:@"password_for_the_key" forKey:(id)kSecImportExportPassphrase];

    CFArrayRef items = CFArrayCreate(NULL, 0, 0, NULL);

    OSStatus securityError = SecPKCS12Import((CFDataRef) p12Data,
                                             (CFDictionaryRef)options, &items);

    if (securityError == noErr && CFArrayGetCount(items) > 0) {
        CFDictionaryRef identityDict = CFArrayGetValueAtIndex(items, 0);
        SecIdentityRef identityApp =
        (SecIdentityRef)CFDictionaryGetValue(identityDict,
                                             kSecImportItemIdentity);

        securityError = SecIdentityCopyPrivateKey(identityApp, &privateKeyRef);
        if (securityError != noErr) {
            privateKeyRef = NULL;
        }
    }
    [options release];
    CFRelease(items);
    return privateKeyRef;
}
    • Merci! Sauver ma journée!
    • Merci, merci, merci!!!!!! u r dieu!
    • La première solution que j'ai trouvé qui parvient à le faire sans utiliser le trousseau de clés. Excellent.
    • Ceci est incorrect maintenant. iOS 9.3 prend désormais en charge d'amener de l'PEM clés directement. Bien qu'il peut nécessiter l'utilisation de le trousseau de clés que vous pouvez supprimer immédiatement hors du trousseau de clés.
    • Comment faire depuis la 9.3?
    • Je ne pouvais pas obtenir la clé privée de l'exportation au travail. SecPKCS12Import a bien fonctionné avec pas d'erreurs, mais SecIdentityCopyPrivateKey crash (en CFDataGetLength). Après de nombreuses heures de débogage, sur un coup de tête j'ai régénéré le .fichier p12 avec le exactement le même de la ligne de commande (bash histoire) et puis tout a parfaitement fonctionné. Intacte priv clé & cert fichiers. Souhaite vraiment que j'avais gardé l'ancienne .fichier p12 pour prouver ma santé mentale.

    InformationsquelleAutor Werner Altewischer
  2. 8

    À partir de l'iOS 10, il est effectivement possible d'importer des PEM privé touches w/s de les convertir à PKCS#12 (qui est un très universel format de conteneur pour tout ce qui concerne la cryptographie) et donc w/o à l'aide d'OpenSSL sur la ligne de commande ou de la liaison statique des applications avec elle. Sur macOS, il est même possible depuis 10.7 à l'aide d'une fonction différente que ceux mentionnés ici (mais jusqu'à présent, il n'existe pas pour iOS). Exactement de la manière décrite ci-dessous sera également travailler sur macOS 10.12 et plus tard, bien que.

    Pour importer un certificat, il suffit de simplement enlever la 

    -----BEGIN CERTIFICATE-----

    et 

    -----END CERTIFICATE-----

    lignes, puis exécutez un décodage base64 sur les données de la gauche, le résultat est un certificat standard format DER, qui peut simplement être nourris à SecCertificateCreateWithData() pour obtenir un SecCertificateRef. Cela a toujours été de travail, avant l'iOS 10.

    Pour importer une clé privée, un peu de travail supplémentaire peut être nécessaire. Si la clé privée est enveloppé avec 

    -----BEGIN RSA PRIVATE KEY-----

    alors il est très facile. Encore une fois, la première et la dernière ligne doit être dépouillé, le reste des données doit être en base64 décodé et le résultat est une clé RSA dans PKCS#1 format. Ce format ne peut détenir les clés RSA et il est directement lisible, juste nourrir les données décodées dans SecKeyCreateWithData() pour obtenir un SecKeyRef. Le attributes dictionnaire juste besoin de paires clé/valeur:

    • kSecAttrKeyType: kSecAttrKeyTypeRSA
    • kSecAttrKeyClass: kSecAttrKeyClassPrivate
    • kSecAttrKeySizeInBits: CFNumberRef avec le nombre de bits de la clé (par exemple, 1024, 2048, etc.) Si vous ne connaissez pas, cette information peut être lu à partir de la clé brute des données, qui est à l'ASN.1 les données (c'est un peu au-delà de la portée de cette réponse, mais je vais donner quelques liens utiles ci-dessous sur la façon de traiter ce format). Cette valeur est peut-être en option! Dans mes tests, il n'était pas nécessaire de définir cette valeur; s'il est absent, l'API déterminé la valeur de sa propre et il a toujours été correctement réglé plus tard.

    Dans le cas où la clé privée est enveloppé par -----BEGIN PRIVATE KEY-----, puis les données encodées en base64 n'est pas dans PKCS#1 format mais en PKCS#8 format, cependant, c'est qu'un conteneur générique qui peut également détenir des clés RSA mais pour des clés RSA de l'intérieur des données de ce récipient est égal à PKCS#1, donc, on pourrait dire pour des clés RSA PKCS#8 est PKCS#1 avec un en-tête supplémentaire et tout ce que vous devez faire est de décapage que l'en-tête supplémentaire. Simplement enlever les 26 premiers octets de la base64 données décodées et vous avez PKCS#1 de nouveau. Oui, c'est vraiment aussi simple que cela.

    Pour en savoir plus sur PKCS#x formats PEM encodages, jetez un oeil à ce site. Pour en savoir plus à propos de l'ASN.Format de 1, voici un bon site pour cela. Et si vous avez besoin d'un simple, mais puissant et interactif en ligne de l'ASN.1 analyseur de jouer avec différents formats, que l'on peut lire directement PEM de données, ainsi que de l'ASN.1 en base64 et hexdump, essayez ce site.

    Très important: Lors de l'ajout d'une clé privée pour le trousseau, que vous avez créé comme ci-dessus, s'il vous plaît être conscient que de tels une clé privée ne contient pas une clé publique de hachage, encore une clé publique de hachage est important pour elles de keychain de l'API pour se forger une identité (SecIdentityRef), comme à l'aide de la clé publique de hachage est de savoir comment l'API trouve la bonne clé privée qui appartient à un certificat importé (un SecIdentityRef est juste un SecKeyRef d'une clé privée et une SecCertificateRef d'un cert formant un objet et c'est la clé publique de hachage, qui les lie). Ainsi, lorsque vous plan pour ajouter la clé privée pour le trousseau, assurez-vous de définir une clé publique de hachage manuellement, sinon vous ne sera jamais en mesure d'obtenir une identité pour lui et sans que vous ne pouvez pas utiliser trousseau API pour des tâches comme la signature ou le déchiffrement des données. La clé publique de hachage doit être stocké dans un attribut nommé kSecAttrApplicationLabel (nom stupide, je sais, mais c'est vraiment pas une étiquette et rien que l'utilisateur peut jamais voir, consultez la documentation). E. g.:

    OSStatus error = SecItemAdd(
    (__bridge CFDictionaryRef)@{
        (__bridge NSString *)kSecClass: 
            (__bridge NSString *)kSecClassKey,
        (__bridge NSString *)kSecAttrApplicationLabel: 
             hashOfPublicKey, //hashOfPublicKey is NSData *
#if TARGET_OS_IPHONE
        (__bridge NSString *)kSecValueRef: 
            (__bridge id)privateKeyToAdd, //privateKeyToAdd is SecKeyRef
#else
        (__bridge NSString *)kSecUseItemList: 
              @[(__bridge id)privateKeyToAdd], //privateKeyToAdd is SecKeyRef
              //@[ ... ] wraps it into a NSArray object,
              //as kSecUseItemList expects an array of items
#endif
     },
     &outReference //Can also be NULL,
                   //otherwise reference to added keychain entry
                   //that must be released with CFRelease()
);
    • En plus de décapage -----BEGIN et -----FIN, des lignes de caractères de saut de ligne doivent également être supprimés avant un décodage base64.
    • Chaque conformes aux standards base64 decoder doit être en mesure d'ignorer les retours à la ligne comme requis par la norme, sinon il ne pouvait même pas décoder son propre encodage de sortie qui contient souvent des retours à la ligne. Lors de l'utilisation de initWithBase64EncodedString:options: suffit d'utiliser l'option NSDataBase64DecodingIgnoreUnknownCharacters. 3ème partie base64 décodeurs ignorer les retours à la ligne par défaut et qui ne peut être activé par une option.
    InformationsquelleAutor Mecki
  3. 2

    Après des heures d'effort des recherches en ligne, avec l'aide de ce post, je reçois enfin il fonctionne parfaitement. Voici les notes de travail avec le code Swift de la version la plus récente. J'espère que cela peut aider quelqu'un!

    1. Reçu un certificat de la chaîne encodée en base64 pris en sandwich entre en-tête et la queue qui ressemble à ceci (format PEM):

      -----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

    2. dépouiller l'en-tête et la queue, comme 

      //remove the header string  
let offset = ("-----BEGIN CERTIFICATE-----").characters.count  
let index = certStr.index(cerStr.startIndex, offsetBy: offset+1)  
cerStr = cerStr.substring(from: index)  

//remove the tail string 
let tailWord = "-----END CERTIFICATE-----"   
if let lowerBound = cerStr.range(of: tailWord)?.lowerBound {  
cerStr = cerStr.substring(to: lowerBound)  
}

    3. décodage base64 chaîne de NSData:

      let data = NSData(base64Encoded: cerStr, 
   options:NSData.Base64DecodingOptions.ignoreUnknownCharacters)!

    4. Convertir de NSdata format SecCertificate:

      let cert = SecCertificateCreateWithData(kCFAllocatorDefault, data)

    5. Maintenant, ce cert peut être utilisé pour comparer avec le certificat reçu de la urlSession confiance: 

      certificateFromUrl = SecTrustGetCertificateAtIndex(...)
if cert == certificate {
}
    • Que faire si le PEM est une chaîne de plusieurs touches, c'est à dire plusieurs "début / FIN"s?
    InformationsquelleAutor jingyul