Provided by: manpages-fr-extra_20080921_all bug

NOM

       pkcs8 - Utilitaire de conversion de clA~X privA~Xe PKCS#8

SYNOPSIS

       openssl pkcs8 [-topk8] [-inform PEM|DER] [-outform PEM|DER] [-in
       nom_fichier] [-passin param] [-out nom_fichier] [-passout param]
       [-noiter] [-nocrypt] [-nooct] [-embed] [-nsdb] [-v2 alg] [-v1 alg]
       [-engine id]

DESCRIPTION

       La commande pkcs8 traite des clA~Xs privA~Xes au format PKCS#8. Elle
       traite aussi bien le format PKCS#8 non encodA~X PrivateKeyInfo et
       EncryptedPrivateKeyInfo, avec certains algorithmes PKCS#5 (v1.5 et
       v2.0) et PKCS#12.

OPTIONS DE LA COMMANDE

       -topk8
           Par dA~Xfaut, une clA~X privA~Xe PKCS#8 est attendue A~  l’entrA~Xe
           et une clA~X privA~Xe au format traditionnel est produite. Avec
           l’option -topk8, la situation est inversA~Xe : une clA~X privA~Xe
           au format traditionnel est lue et une clA~X au format PKCS#8 sera
           produite.

       -inform DER|PEM
           Ceci spA~Xcifie le format d’entrA~Xe. Si une clA~X au format PKCS#8
           est attendue A~  l’entrA~Xe, une version encodA~Xe DER ou PEM de la
           clA~X PKCS#8 est acceptA~Xe. Autrement, une clA~X privA~Xe au
           format traditionnel encodA~Xe DER ou PEM est prise.

       -outform DER|PEM
           SpA~Xcifie le format de sortie. Les options ont la mA~Xme
           signification que pour l’option -inform.

       -in nom_fichier
           Ceci spA~Xcifie le nom du fichier d’entrA~Xe A~  partir duquel la
           clA~X sera lue. Par dA~Xfaut, la clA~X est lue depuis l’entrA~Xe
           standard si cette option est omise. Si la clA~X est chiffrA~Xe, un
           mot de passe sera demandA~X A~  l’invite de commande.

       -passin param
           la source de mot de passe d’entrA~Xe. Pour plus d’informations
           concernant le format de param, rA~XfA~Xrez-vous A~  la section
           PHRASE DE PASSE EN PARAMA~XTRE d’openssl(1).

       -out nom_fichier
           Ceci spA~Xcifie le nom du fichier de sortie oA~X la clA~X sera
           A~Xcrite, sinon la sortie standard sera utilisA~Xe par dA~Xfaut. Si
           des options de chiffrement sont spA~XcifiA~Xes, alors une phrase de
           passe sera demandA~Xe. Le fichier de sortie ne doit pas A~Xtre le
           mA~Xme que le fichier d’entrA~Xe.

       -passout param
           la source de mot de passe pour le fichier de sortie. Pour plus
           d’informations concernant le format de param, rA~XfA~Xrez-vous A~
           la section PHRASE DE PASSE EN PARAMA~XTRE d’openssl(1).

       -nocrypt
           Les clA~Xs PKCS#8 gA~XnA~XrA~Xes ou reA~Xues en entrA~Xe sont
           normalement une structure PKCS#8 EncryptedPrivateKeyInfo et
           utilisent un algorithme de chiffrement utilisant un mot de passe
           appropriA~X. Avec cette option, une structure PrivateKeyInfo non
           chiffrA~Xe est attendue ou gA~XnA~XrA~Xe. Cette option ne chiffre
           pas les clA~Xs privA~Xes et devrait A~Xtre utilisA~Xe uniquement si
           c’est nA~Xcessaire. Certains programmes comme certaines versions du
           logiciel certifiant du code Java utilisaient des clA~Xs privA~Xes
           non chiffrA~Xes.

       -nooct
           Cette option gA~XnA~Xre une clA~X privA~Xe RSA dans un format
           dA~Xficient que certains programmes utilisent. Plus
           spA~Xcifiquement, une clA~X privA~Xe doit A~Xtre fournie dans une
           OCTET STRING mais certains programmes incluent la structure mA~Xme
           sans l’inclure dans une OCTET STRING.

       -embed
           Cette option gA~XnA~Xre une clA~X privA~Xe DSA dans un format
           dA~Xficient que certains programmes utilisent. Plus
           spA~Xcifiquement, une clA~X privA~Xe doit A~Xtre fournie dans une
           OCTET STRING mais certains programmes incluent la structure mA~Xme
           sans l’inclure dans une OCTET STRING.

       -nsdb
           Cette option gA~XnA~Xre des clA~Xs DSA dans un format dA~Xficient
           compatible avec les bases de donnA~Xes de clA~Xs privA~Xes
           Netscape. La structure PrivateKey contient une SEQUENCE comprenant
           les clA~Xs publiques et privA~Xes respectivement.

       -v2 alg
           Cette option active l’utilisation des algorithmes PKCS#5 v2.0.
           Habituellement les clA~Xs privA~Xes PKCS#8 sont chiffrA~Xes avec un
           algorithme A~  base de mots de passe nommA~X pbeWithMD5AndDES-CBC
           qui utilisent un chiffrement DES A~  56 bits, qui A~Xtait
           l’algorithme de chiffrement le plus fort pris en charge par PKCS#5
           v1.5. En utilisant l’option -v2, des algorithmes PKCS#5 v2.0 sont
           utilisA~Xs, comme le triple DES A~  168 bits ou encore RC2 A~  128
           bits. Toutefois peu d’implA~Xmentations supportent PKCS#5 v2.0 A~
           ce jour. Si vous utilisez des clA~Xs privA~Xes uniquement avec
           OpenSSL, ceci n’importe pas.

           L’argument alg est l’algorithme de chiffrement A~  utiliser, qui
           peut A~Xtre entre autres des, des3 et rc2. L’utilisation de des3
           est recommandA~X.

       -v1 alg
           Cette option spA~Xcifie l’algorithme PKCS#5 v1.5 ou PKCS#12 A~
           utiliser. Une liste complA~Xte des algorithmes possibles est
           incluse ci-dessous.

       -engine id
           spA~Xcifie un moteur (en utilisant son identifiant unique id) qui
           indique A~  req d’essayer d’obtenir une rA~XfA~Xrence fonctionnelle
           pour le moteur spA~XcifiA~X, et l’initialiser si nA~Xcessaire. Le
           moteur sera ensuite utilisA~X par dA~Xfaut pour tous les
           algorithmes disponibles.

NOTES

       La version chiffrA~Xe PEM d’un fichier PKCS#8 utilise les lignes
       suivantes au dA~Xbut et A~  la fin :

        -----BEGIN ENCRYPTED PRIVATE KEY-----

        -----END ENCRYPTED PRIVATE KEY-----
       La version non chiffrA~Xe utilise :

        -----BEGIN PRIVATE KEY-----

        -----END PRIVATE KEY-----
       Les clA~Xs privA~Xes utilisant des algorithmes PKCS#5 v2.0 avec un
       nombre d’itA~Xrations A~XlA~XvA~Xes sont plus sA~Xres que celle
       utilisant les formats traditionnels compatible SSLeay. Ainsi, si on
       considA~Xre importante cette sA~XcuritA~X supplA~Xmentaire, les clA~Xs
       devraient A~Xtre converties.

       Le chiffrement par dA~Xfaut est de seulement 56 bits car c’est
       l’encodage que la plupart des implA~Xmentations de PKCS#8 rA~Xcentes
       gA~Xrent.

       Certains logiciels utilisent des algorithmes PKCS#12 de chiffrement A~
       base de mots de passe avec des clA~Xs privA~Xes au format PKCS#8 :
       celles-ci sont gA~XrA~Xes automatiquement, mais il n’existe pas
       d’option pour les produire.

       Il est possible d’A~Xcrire des clA~Xs privA~Xes chiffrA~Xes au format
       DER dans un format PKCS#8 car les dA~Xtails du chiffrement sont inclus
       au niveau ASN1 alors que le format traditionnel les inclut au niveau
       PEM.

Les algorithmes PKCS#5 v1.5 et PKCS#12.

       Certains algorithmes peuvent A~Xtre utilisA~Xs avec l’option -v1, y
       compris PKCS#5 v1.5 et PKCS#12. Ils sont dA~Xcrits d’avantage ci-
       dessous.

       PBE-MD2-DES PBE-MD5-DES
           Ces algorithmes sont inclus dans la spA~Xcification PKCS#5 v1.5
           originale. Ils offrent seulement 56 bits de protection comme ils
           utilisent le DES tous les deux.

       PBE-SHA1-RC2-64 PBE-MD2-RC2-64 PBE-MD5-RC2-64 PBE-SHA1-DES
           Ces algorithmes ne sont pas mentionnA~Xs dans la spA~Xcification
           originale PKCS#5 v1.5 mais ils utilisent le mA~Xme algorithme de
           dA~Xrivation de la clA~X et sont gA~XrA~Xs par quelques logiciels.
           Ils ont A~XtA~X citA~Xs dans PKCS#5 v2.0 et utilisent soit un RC2
           A~  64 bit soit un DES A~  56 bit.

       PBE-SHA1-RC4-128 PBE-SHA1-RC4-40 PBE-SHA1-3DES PBE-SHA1-2DES
       PBE-SHA1-RC2-128 PBE-SHA1-RC2-40
           Ces algorithmes utilisent l’algorithme de chiffrement A~  base de
           mots de passe PKCS#12 et permettent l’utilisation des algorithmes
           de chiffrement fort comme le triple DES ou le RC2 A~  128 bits.

EXEMPLES

       Convertir une clA~X privA~Xe du format traditionnel vers PKCS#5 v2.0 en
       utilisant le triple DES :

        openssl pkcs8 -in key.pem -topk8 -v2 des3 -out enckey.pem

       Convertir une clA~X privA~Xe PKCS#8 en utilisant un algorithme
       compatible PKCS#5 1.5 (DES) :

        openssl pkcs8 -in key.pem -topk8 -out enckey.pem

       Convertir une clA~X privA~Xe vers PKCS#8 en utilisant un algorithme
       compatible PKCS#12 (3DES) :

        openssl pkcs8 -in key.pem -topk8 -out enckey.pem -v1 PBE-SHA1-3DES

       Lire une clA~X privA~Xe DER non chiffrA~Xe au format PKCS#8 :

        openssl pkcs8 -inform DER -nocrypt -in key.der -out key.pem

       Covertir une clA~X privA~Xe d’un format PKCS#8 quelconque vers le
       format traditionnel :

        openssl pkcs8 -in pk8.pem -out key.pem

NORMES

       Des jeux de test de cette implA~Xmentation de PKCS#5 v2.0 ont A~XtA~X
       postA~Xs sur la liste pkcs-tng en utilisant le triple DES, DES ou RC2
       avec un nombre d’itA~Xrations A~XlevA~X. Plusieurs personnes ont
       confirmA~X qu’ils pouvaient dA~Xchiffrer les clA~Xs privA~Xes produites
       et ainsi on peut supposer que l’implA~Xmentation PKCS#5 v2.0 est
       suffisamment correcte au moins concernant ces algorithmes.

       Le format des clA~Xs privA~Xes PKCS#8 DSA (entre autres) n’est pas bien
       documentA~X, A~Xtant cachA~X dans PKCS#11 v2.01, section 11.9. Le
       format PKCS#8 DSA par dA~Xfaut d’OpenSSL pour les clA~Xs privA~Xes
       respecte ce standard.

BOGUES

       Il devrait y avoir une option qui affiche l’algorithme de chiffrement
       utilisA~X et d’autres dA~Xtails comme le nombre d’itA~Xrations.

       Le format par dA~Xfaut des clA~Xs privA~Xes pour OpenSSL devrait A~Xtre
       PKCS#8 avec triple DES et PKCS#5 v2.0. Pour assurer la compatibilitA~X
       avec quelques-uns des utilitaires, l’ancien format est maintenu
       actuellement.

VOIR AUSSI

       dsa(1), rsa(1), genrsa(1), gendsa(1)

TRADUCTION

       Cette page de manuel a A~XtA~X traduite par stolck en 2002 et est
       maintenue par la liste <debian-l10n-french AT lists DOT debian DOT
       org>.  Veuillez signaler toute erreur de traduction par un rapport de
       bogue sur le paquet manpages-fr-extra.