Provided by: manpages-fr-extra_20101103_all bug

NOM

       pkcs8 - Utilitaire de conversion de cle privee PKCS#8

SYNOPSIS

       openssl pkcs8 [-topk8] [-inform PEM|DER] [-outform PEM|DER] [-in
       nom_fichier] [-passin param] [-out nom_fichier] [-passout param]
       [-noiter] [-nocrypt] [-nooct] [-embed] [-nsdb] [-v2 alg] [-v1 alg]
       [-engine id]

DESCRIPTION

       La commande pkcs8 traite des cles privees au format PKCS#8. Elle traite
       aussi bien le format PKCS#8 non encode PrivateKeyInfo et
       EncryptedPrivateKeyInfo, avec certains algorithmes PKCS#5 (v1.5 et
       v2.0) et PKCS#12.

OPTIONS DE LA COMMANDE

       -topk8
           Par defaut, une cle privee PKCS#8 est attendue a l'entree et une
           cle privee au format traditionnel est produite. Avec l'option
           -topk8, la situation est inversee: une cle privee au format
           traditionnel est lue et une cle au format PKCS#8 sera produite.

       -inform DER|PEM
           Ceci specifie le format d'entree. Si une cle au format PKCS#8 est
           attendue a l'entree, une version encodee DER ou PEM de la cle
           PKCS#8 est acceptee. Autrement, une cle privee au format
           traditionnel encodee DER ou PEM est prise.

       -outform DER|PEM
           Specifie le format de sortie. Les options ont la meme signification
           que pour l'option -inform.

       -in nom_fichier
           Ceci specifie le nom du fichier d'entree a partir duquel la cle
           sera lue. Par defaut, la cle est lue depuis l'entree standard si
           cette option est omise. Si la cle est chiffree, un mot de passe
           sera demande a l'invite de commande.

       -passin param
           la source de mot de passe d'entree. Pour plus d'informations
           concernant le format de param, referez-vous a la section PHRASE DE
           PASSE EN PARAM`ETRE d'openssl(1).

       -out nom_fichier
           Ceci specifie le nom du fichier de sortie ou la cle sera ecrite,
           sinon la sortie standard sera utilisee par defaut. Si des options
           de chiffrement sont specifiees, alors une phrase de passe sera
           demandee. Le fichier de sortie ne doit pas etre le meme que le
           fichier d'entree.

       -passout param
           la source de mot de passe pour le fichier de sortie. Pour plus
           d'informations concernant le format de param, referez-vous a la
           section PHRASE DE PASSE EN PARAM`ETRE d'openssl(1).

       -nocrypt
           Les cles PKCS#8 generees ou recues en entree sont normalement une
           structure PKCS#8 EncryptedPrivateKeyInfo et utilisent un algorithme
           de chiffrement utilisant un mot de passe approprie. Avec cette
           option, une structure PrivateKeyInfo non chiffree est attendue ou
           generee. Cette option ne chiffre pas les cles privees et devrait
           etre utilisee uniquement si c'est necessaire. Certains programmes
           comme certaines versions du logiciel certifiant du code Java
           utilisaient des cles privees non chiffrees.

       -nooct
           Cette option genere une cle privee RSA dans un format deficient que
           certains programmes utilisent. Plus specifiquement, une cle privee
           doit etre fournie dans une OCTET STRING mais certains programmes
           incluent la structure meme sans l'inclure dans une OCTET STRING.

       -embed
           Cette option genere une cle privee DSA dans un format deficient que
           certains programmes utilisent. Plus specifiquement, une cle privee
           doit etre fournie dans une OCTET STRING mais certains programmes
           incluent la structure meme sans l'inclure dans une OCTET STRING.

       -nsdb
           Cette option genere des cles DSA dans un format deficient
           compatible avec les bases de donnees de cles privees Netscape. La
           structure PrivateKey contient une SEQUENCE comprenant les cles
           publiques et privees respectivement.

       -v2 alg
           Cette option active l'utilisation des algorithmes PKCS#5 v2.0.
           Habituellement les cles privees PKCS#8 sont chiffrees avec un
           algorithme a base de mots de passe nomme pbeWithMD5AndDES-CBC qui
           utilisent un chiffrement DES a 56 bits, qui etait l'algorithme de
           chiffrement le plus fort pris en charge par PKCS#5 v1.5. En
           utilisant l'option -v2, des algorithmes PKCS#5 v2.0 sont utilises,
           comme le triple DES a 168 bits ou encore RC2 a 128 bits. Toutefois
           peu d'implementations supportent PKCS#5 v2.0 a ce jour. Si vous
           utilisez des cles privees uniquement avec OpenSSL, ceci n'importe
           pas.

           L'argument alg est l'algorithme de chiffrement a utiliser, qui peut
           etre entre autres des, des3 et rc2. L'utilisation de des3 est
           recommande.

       -v1 alg
           Cette option specifie l'algorithme PKCS#5 v1.5 ou PKCS#12 a
           utiliser. Une liste complete des algorithmes possibles est incluse
           ci-dessous.

       -engine id
           specifie un moteur (en utilisant son identifiant unique id) qui
           indique a req d'essayer d'obtenir une reference fonctionnelle pour
           le moteur specifie, et l'initialiser si necessaire. Le moteur sera
           ensuite utilise par defaut pour tous les algorithmes disponibles.

NOTES

       La version chiffree PEM d'un fichier PKCS#8 utilise les lignes
       suivantes au debut et a la fin:

        -----BEGIN ENCRYPTED PRIVATE KEY-----

        -----END ENCRYPTED PRIVATE KEY-----
       La version non chiffree utilise:

        -----BEGIN PRIVATE KEY-----

        -----END PRIVATE KEY-----
       Les cles privees utilisant des algorithmes PKCS#5 v2.0 avec un nombre
       d'iterations elevees sont plus sures que celle utilisant les formats
       traditionnels compatible SSLeay. Ainsi, si on considere importante
       cette securite supplementaire, les cles devraient etre converties.

       Le chiffrement par defaut est de seulement 56 bits car c'est l'encodage
       que la plupart des implementations de PKCS#8 recentes gerent.

       Certains logiciels utilisent des algorithmes PKCS#12 de chiffrement a
       base de mots de passe avec des cles privees au format PKCS#8: celles-ci
       sont gerees automatiquement, mais il n'existe pas d'option pour les
       produire.

       Il est possible d'ecrire des cles privees chiffrees au format DER dans
       un format PKCS#8 car les details du chiffrement sont inclus au niveau
       ASN1 alors que le format traditionnel les inclut au niveau PEM.

Les algorithmes PKCS#5 v1.5 et PKCS#12.

       Certains algorithmes peuvent etre utilises avec l'option -v1, y compris
       PKCS#5 v1.5 et PKCS#12. Ils sont decrits d'avantage ci-dessous.

       PBE-MD2-DES PBE-MD5-DES
           Ces algorithmes sont inclus dans la specification PKCS#5 v1.5
           originale. Ils offrent seulement 56 bits de protection comme ils
           utilisent le DES tous les deux.

       PBE-SHA1-RC2-64 PBE-MD2-RC2-64 PBE-MD5-RC2-64 PBE-SHA1-DES
           Ces algorithmes ne sont pas mentionnes dans la specification
           originale PKCS#5 v1.5 mais ils utilisent le meme algorithme de
           derivation de la cle et sont geres par quelques logiciels. Ils ont
           ete cites dans PKCS#5 v2.0 et utilisent soit un RC2 a 64 bit soit
           un DES a 56 bit.

       PBE-SHA1-RC4-128 PBE-SHA1-RC4-40 PBE-SHA1-3DES PBE-SHA1-2DES
       PBE-SHA1-RC2-128 PBE-SHA1-RC2-40
           Ces algorithmes utilisent l'algorithme de chiffrement a base de
           mots de passe PKCS#12 et permettent l'utilisation des algorithmes
           de chiffrement fort comme le triple DES ou le RC2 a 128 bits.

EXEMPLES

       Convertir une cle privee du format traditionnel vers PKCS#5 v2.0 en
       utilisant le triple DES:

        openssl pkcs8 -in key.pem -topk8 -v2 des3 -out enckey.pem

       Convertir une cle privee PKCS#8 en utilisant un algorithme compatible
       PKCS#5 1.5 (DES):

        openssl pkcs8 -in key.pem -topk8 -out enckey.pem

       Convertir une cle privee vers PKCS#8 en utilisant un algorithme
       compatible PKCS#12 (3DES):

        openssl pkcs8 -in key.pem -topk8 -out enckey.pem -v1 PBE-SHA1-3DES

       Lire une cle privee DER non chiffree au format PKCS#8:

        openssl pkcs8 -inform DER -nocrypt -in key.der -out key.pem

       Covertir une cle privee d'un format PKCS#8 quelconque vers le format
       traditionnel:

        openssl pkcs8 -in pk8.pem -out key.pem

NORMES

       Des jeux de test de cette implementation de PKCS#5 v2.0 ont ete postes
       sur la liste pkcs-tng en utilisant le triple DES, DES ou RC2 avec un
       nombre d'iterations eleve. Plusieurs personnes ont confirme qu'ils
       pouvaient dechiffrer les cles privees produites et ainsi on peut
       supposer que l'implementation PKCS#5 v2.0 est suffisamment correcte au
       moins concernant ces algorithmes.

       Le format des cles privees PKCS#8 DSA (entre autres) n'est pas bien
       documente, etant cache dans PKCS#11 v2.01, section 11.9. Le format
       PKCS#8 DSA par defaut d'OpenSSL pour les cles privees respecte ce
       standard.

BOGUES

       Il devrait y avoir une option qui affiche l'algorithme de chiffrement
       utilise et d'autres details comme le nombre d'iterations.

       Le format par defaut des cles privees pour OpenSSL devrait etre PKCS#8
       avec triple DES et PKCS#5 v2.0. Pour assurer la compatibilite avec
       quelques-uns des utilitaires, l'ancien format est maintenu
       actuellement.

VOIR AUSSI

       dsa(1), rsa(1), genrsa(1), gendsa(1)

TRADUCTION

       Cette page de manuel a ete traduite par stolck en 2002 et est maintenue
       par la liste <debian-l10n-french AT lists DOT debian DOT org>.
       Veuillez signaler toute erreur de traduction par un rapport de bogue
       sur le paquet manpages-fr-extra.