Provided by:
manpages-fr-extra_20080921_all 
NOM
pkcs8 - Utilitaire de conversion de clA~X privA~Xe PKCS#8
SYNOPSIS
openssl pkcs8 [-topk8] [-inform PEM|DER] [-outform PEM|DER] [-in
nom_fichier] [-passin param] [-out nom_fichier] [-passout param]
[-noiter] [-nocrypt] [-nooct] [-embed] [-nsdb] [-v2 alg] [-v1 alg]
[-engine id]
DESCRIPTION
La commande pkcs8 traite des clA~Xs privA~Xes au format PKCS#8. Elle
traite aussi bien le format PKCS#8 non encodA~X PrivateKeyInfo et
EncryptedPrivateKeyInfo, avec certains algorithmes PKCS#5 (v1.5 et
v2.0) et PKCS#12.
OPTIONS DE LA COMMANDE
-topk8
Par dA~Xfaut, une clA~X privA~Xe PKCS#8 est attendue A~ l’entrA~Xe
et une clA~X privA~Xe au format traditionnel est produite. Avec
l’option -topk8, la situation est inversA~Xe : une clA~X privA~Xe
au format traditionnel est lue et une clA~X au format PKCS#8 sera
produite.
-inform DER|PEM
Ceci spA~Xcifie le format d’entrA~Xe. Si une clA~X au format PKCS#8
est attendue A~ l’entrA~Xe, une version encodA~Xe DER ou PEM de la
clA~X PKCS#8 est acceptA~Xe. Autrement, une clA~X privA~Xe au
format traditionnel encodA~Xe DER ou PEM est prise.
-outform DER|PEM
SpA~Xcifie le format de sortie. Les options ont la mA~Xme
signification que pour l’option -inform.
-in nom_fichier
Ceci spA~Xcifie le nom du fichier d’entrA~Xe A~ partir duquel la
clA~X sera lue. Par dA~Xfaut, la clA~X est lue depuis l’entrA~Xe
standard si cette option est omise. Si la clA~X est chiffrA~Xe, un
mot de passe sera demandA~X A~ l’invite de commande.
-passin param
la source de mot de passe d’entrA~Xe. Pour plus d’informations
concernant le format de param, rA~XfA~Xrez-vous A~ la section
PHRASE DE PASSE EN PARAMA~XTRE d’openssl(1).
-out nom_fichier
Ceci spA~Xcifie le nom du fichier de sortie oA~X la clA~X sera
A~Xcrite, sinon la sortie standard sera utilisA~Xe par dA~Xfaut. Si
des options de chiffrement sont spA~XcifiA~Xes, alors une phrase de
passe sera demandA~Xe. Le fichier de sortie ne doit pas A~Xtre le
mA~Xme que le fichier d’entrA~Xe.
-passout param
la source de mot de passe pour le fichier de sortie. Pour plus
d’informations concernant le format de param, rA~XfA~Xrez-vous A~
la section PHRASE DE PASSE EN PARAMA~XTRE d’openssl(1).
-nocrypt
Les clA~Xs PKCS#8 gA~XnA~XrA~Xes ou reA~Xues en entrA~Xe sont
normalement une structure PKCS#8 EncryptedPrivateKeyInfo et
utilisent un algorithme de chiffrement utilisant un mot de passe
appropriA~X. Avec cette option, une structure PrivateKeyInfo non
chiffrA~Xe est attendue ou gA~XnA~XrA~Xe. Cette option ne chiffre
pas les clA~Xs privA~Xes et devrait A~Xtre utilisA~Xe uniquement si
c’est nA~Xcessaire. Certains programmes comme certaines versions du
logiciel certifiant du code Java utilisaient des clA~Xs privA~Xes
non chiffrA~Xes.
-nooct
Cette option gA~XnA~Xre une clA~X privA~Xe RSA dans un format
dA~Xficient que certains programmes utilisent. Plus
spA~Xcifiquement, une clA~X privA~Xe doit A~Xtre fournie dans une
OCTET STRING mais certains programmes incluent la structure mA~Xme
sans l’inclure dans une OCTET STRING.
-embed
Cette option gA~XnA~Xre une clA~X privA~Xe DSA dans un format
dA~Xficient que certains programmes utilisent. Plus
spA~Xcifiquement, une clA~X privA~Xe doit A~Xtre fournie dans une
OCTET STRING mais certains programmes incluent la structure mA~Xme
sans l’inclure dans une OCTET STRING.
-nsdb
Cette option gA~XnA~Xre des clA~Xs DSA dans un format dA~Xficient
compatible avec les bases de donnA~Xes de clA~Xs privA~Xes
Netscape. La structure PrivateKey contient une SEQUENCE comprenant
les clA~Xs publiques et privA~Xes respectivement.
-v2 alg
Cette option active l’utilisation des algorithmes PKCS#5 v2.0.
Habituellement les clA~Xs privA~Xes PKCS#8 sont chiffrA~Xes avec un
algorithme A~ base de mots de passe nommA~X pbeWithMD5AndDES-CBC
qui utilisent un chiffrement DES A~ 56 bits, qui A~Xtait
l’algorithme de chiffrement le plus fort pris en charge par PKCS#5
v1.5. En utilisant l’option -v2, des algorithmes PKCS#5 v2.0 sont
utilisA~Xs, comme le triple DES A~ 168 bits ou encore RC2 A~ 128
bits. Toutefois peu d’implA~Xmentations supportent PKCS#5 v2.0 A~
ce jour. Si vous utilisez des clA~Xs privA~Xes uniquement avec
OpenSSL, ceci n’importe pas.
L’argument alg est l’algorithme de chiffrement A~ utiliser, qui
peut A~Xtre entre autres des, des3 et rc2. L’utilisation de des3
est recommandA~X.
-v1 alg
Cette option spA~Xcifie l’algorithme PKCS#5 v1.5 ou PKCS#12 A~
utiliser. Une liste complA~Xte des algorithmes possibles est
incluse ci-dessous.
-engine id
spA~Xcifie un moteur (en utilisant son identifiant unique id) qui
indique A~ req d’essayer d’obtenir une rA~XfA~Xrence fonctionnelle
pour le moteur spA~XcifiA~X, et l’initialiser si nA~Xcessaire. Le
moteur sera ensuite utilisA~X par dA~Xfaut pour tous les
algorithmes disponibles.
NOTES
La version chiffrA~Xe PEM d’un fichier PKCS#8 utilise les lignes
suivantes au dA~Xbut et A~ la fin :
-----BEGIN ENCRYPTED PRIVATE KEY-----
-----END ENCRYPTED PRIVATE KEY-----
La version non chiffrA~Xe utilise :
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
Les clA~Xs privA~Xes utilisant des algorithmes PKCS#5 v2.0 avec un
nombre d’itA~Xrations A~XlA~XvA~Xes sont plus sA~Xres que celle
utilisant les formats traditionnels compatible SSLeay. Ainsi, si on
considA~Xre importante cette sA~XcuritA~X supplA~Xmentaire, les clA~Xs
devraient A~Xtre converties.
Le chiffrement par dA~Xfaut est de seulement 56 bits car c’est
l’encodage que la plupart des implA~Xmentations de PKCS#8 rA~Xcentes
gA~Xrent.
Certains logiciels utilisent des algorithmes PKCS#12 de chiffrement A~
base de mots de passe avec des clA~Xs privA~Xes au format PKCS#8 :
celles-ci sont gA~XrA~Xes automatiquement, mais il n’existe pas
d’option pour les produire.
Il est possible d’A~Xcrire des clA~Xs privA~Xes chiffrA~Xes au format
DER dans un format PKCS#8 car les dA~Xtails du chiffrement sont inclus
au niveau ASN1 alors que le format traditionnel les inclut au niveau
PEM.
Les algorithmes PKCS#5 v1.5 et PKCS#12.
Certains algorithmes peuvent A~Xtre utilisA~Xs avec l’option -v1, y
compris PKCS#5 v1.5 et PKCS#12. Ils sont dA~Xcrits d’avantage ci-
dessous.
PBE-MD2-DES PBE-MD5-DES
Ces algorithmes sont inclus dans la spA~Xcification PKCS#5 v1.5
originale. Ils offrent seulement 56 bits de protection comme ils
utilisent le DES tous les deux.
PBE-SHA1-RC2-64 PBE-MD2-RC2-64 PBE-MD5-RC2-64 PBE-SHA1-DES
Ces algorithmes ne sont pas mentionnA~Xs dans la spA~Xcification
originale PKCS#5 v1.5 mais ils utilisent le mA~Xme algorithme de
dA~Xrivation de la clA~X et sont gA~XrA~Xs par quelques logiciels.
Ils ont A~XtA~X citA~Xs dans PKCS#5 v2.0 et utilisent soit un RC2
A~ 64 bit soit un DES A~ 56 bit.
PBE-SHA1-RC4-128 PBE-SHA1-RC4-40 PBE-SHA1-3DES PBE-SHA1-2DES
PBE-SHA1-RC2-128 PBE-SHA1-RC2-40
Ces algorithmes utilisent l’algorithme de chiffrement A~ base de
mots de passe PKCS#12 et permettent l’utilisation des algorithmes
de chiffrement fort comme le triple DES ou le RC2 A~ 128 bits.
EXEMPLES
Convertir une clA~X privA~Xe du format traditionnel vers PKCS#5 v2.0 en
utilisant le triple DES :
openssl pkcs8 -in key.pem -topk8 -v2 des3 -out enckey.pem
Convertir une clA~X privA~Xe PKCS#8 en utilisant un algorithme
compatible PKCS#5 1.5 (DES) :
openssl pkcs8 -in key.pem -topk8 -out enckey.pem
Convertir une clA~X privA~Xe vers PKCS#8 en utilisant un algorithme
compatible PKCS#12 (3DES) :
openssl pkcs8 -in key.pem -topk8 -out enckey.pem -v1 PBE-SHA1-3DES
Lire une clA~X privA~Xe DER non chiffrA~Xe au format PKCS#8 :
openssl pkcs8 -inform DER -nocrypt -in key.der -out key.pem
Covertir une clA~X privA~Xe d’un format PKCS#8 quelconque vers le
format traditionnel :
openssl pkcs8 -in pk8.pem -out key.pem
NORMES
Des jeux de test de cette implA~Xmentation de PKCS#5 v2.0 ont A~XtA~X
postA~Xs sur la liste pkcs-tng en utilisant le triple DES, DES ou RC2
avec un nombre d’itA~Xrations A~XlevA~X. Plusieurs personnes ont
confirmA~X qu’ils pouvaient dA~Xchiffrer les clA~Xs privA~Xes produites
et ainsi on peut supposer que l’implA~Xmentation PKCS#5 v2.0 est
suffisamment correcte au moins concernant ces algorithmes.
Le format des clA~Xs privA~Xes PKCS#8 DSA (entre autres) n’est pas bien
documentA~X, A~Xtant cachA~X dans PKCS#11 v2.01, section 11.9. Le
format PKCS#8 DSA par dA~Xfaut d’OpenSSL pour les clA~Xs privA~Xes
respecte ce standard.
BOGUES
Il devrait y avoir une option qui affiche l’algorithme de chiffrement
utilisA~X et d’autres dA~Xtails comme le nombre d’itA~Xrations.
Le format par dA~Xfaut des clA~Xs privA~Xes pour OpenSSL devrait A~Xtre
PKCS#8 avec triple DES et PKCS#5 v2.0. Pour assurer la compatibilitA~X
avec quelques-uns des utilitaires, l’ancien format est maintenu
actuellement.
VOIR AUSSI
dsa(1), rsa(1), genrsa(1), gendsa(1)
TRADUCTION
Cette page de manuel a A~XtA~X traduite par stolck en 2002 et est
maintenue par la liste <debian-l10n-french AT lists DOT debian DOT
org>. Veuillez signaler toute erreur de traduction par un rapport de
bogue sur le paquet manpages-fr-extra.