NodeJS生成用于签名和验证消息的有效PEM密钥

时间:2018-08-21 06:30:05

标签: node.js ssl pem

上下文

摘自Node v10.9.0(2018-AUG)的TLS / SSL上的NodeJS文档

https://nodejs.org/api/tls.html#tls_tls_ssl_concepts 

openssl genrsa -out ryans-key.pem 2048

会产生:

-----BEGIN RSA PRIVATE KEY-----
base64 encoded magic here...
-----END RSA PRIVATE KEY-----

然后我可以成功地使用Sign类对消息进行加密签名:

https://nodejs.org/api/crypto.html#crypto_class_sign 

const crypto = require('crypto');
const sign = crypto.createSign('RSA-SHA256');

sign.update('some data to sign');

const privateKey = `Insert magic value from above`;
console.log(sign.sign(privateKey, 'base64'));

我尝试以下操作均未成功:

const crypto = require('crypto');
const dhke = crypto.createDiffieHellman(2048);
dhke.generateKeys();
const private_pem = `-----BEGIN RSA PRIVATE KEY-----
${dhke.getPrivateKey('base64')}
-----END RSA PRIVATE KEY-----`;
console.log(private_pem);

const sign = crypto.createSign('RSA-SHA256');
sign.update('some data to sign');

const signature = sign.sign(private_pem, 'base64');
console.log(signature);

出现以下错误:

Error: error:0D07207B:asn1 encoding routines:ASN1_get_object:header too long
    at Sign.sign (internal/crypto/sig.js:84:26)
...

问题

如何使用NodeJS中的crypto库来实现openssl命令行工具(或另一个NPM模块)正在执行的操作,以创建有效的PEM格式的公用/专用密钥对,这是必需的由Sign班级提供?

类似的未解决问题

解决方案

感谢the accepted answerJacobTDC在这里开始完成工作解决方案,其中NodeJS v10.12.0添加了此功能。

const crypto = require('crypto'); const sign = crypto.createSign('RSA-SHA256');

sign.update('some data to sign');

// $ openssl genrsa -out ryans-key.pem 2048 
// const privateKey = `Insert magic value from above`;

const { generateKeyPairSync } = require('crypto'); 
const { publicKey, privateKey } = generateKeyPairSync('rsa', 
{   modulusLength: 2048,  // the length of your key in bits   
    publicKeyEncoding: {
      type: 'spki',       // recommended to be 'spki' by the Node.js docs
      format: 'pem'   
    },   
    privateKeyEncoding: {
      type: 'pkcs8',      // recommended to be 'pkcs8' by the Node.js docs
      format: 'pem',
      //cipher: 'aes-256-cbc',   // *optional*
      //passphrase: 'top secret' // *optional*   
  } 
}); 
console.log(privateKey); 
console.log(sign.sign(privateKey, 'base64'));

2 个答案:

答案 0 :(得分:3)

从Node.js v10.12.0开始,您可以使用crypto.generateKeyPaircrypto.generateKeyPairSync

我从下面的Node.js文档中提供了一个示例(添加了注释):

const { generateKeyPairSync } = require('crypto');
const { publicKey, privateKey } = generateKeyPairSync('rsa', {
  modulusLength: 4096,  // the length of your key in bits
  publicKeyEncoding: {
    type: 'spki',       // recommended to be 'spki' by the Node.js docs
    format: 'pem'
  },
  privateKeyEncoding: {
    type: 'pkcs8',      // recommended to be 'pkcs8' by the Node.js docs
    format: 'pem',
    cipher: 'aes-256-cbc',   // *optional*
    passphrase: 'top secret' // *optional*
  }
});

答案 1 :(得分:1)

这里的问题是DH密钥不是RSA密钥,并且不完全兼容。

不幸的是,node不能通过crypto模块生成真实的RSA对,这有点令人失望。您需要与本地openssl库进行交互才能执行此操作,或者根据需要与第三方模块进行交互。

就第三方模块而言,keypair是一个简单的库,可以在给定的情况下使用

const keypair = require('keypair');
const keys: { private: string, public: string } = keypair({ bits : 2056 }); // 2056 is the default but added for example

我还发现openpgpjs的效果很好,它的功能更加强大,同时还专注于与平台无关的模块。如果您正在考虑在浏览器以及节点中进行加密,那么这可能是一个不错的选择。

相关问题
最新问题