https://knowledge.pinon-hebert.fr/mediawiki/index.php?action=history&feed=atom&title=OpensslOpenssl - Historique des versions2026-05-20T00:08:02ZHistorique des versions pour cette page sur le wikiMediaWiki 1.43.6https://knowledge.pinon-hebert.fr/mediawiki/index.php?title=Openssl&diff=1093&oldid=prevJpinon : Page créée avec « Dans cette page je vais donner, en vrac, les commandes openssl que j'utilise de temps en temps. Pas assez souvent pour qu'elles soient dans ma tête mais assez souvent pour ne pas devoir demande à google. == Les clés privées == === Taille de la clé privée. === On a une clé privée (comme avec la PKI familiale) et on ne se souviens plus de sa taille. On l'a crée il y a longtemps, est elle toujours assez robuste vu l'évolution des technologies?<syntax... »2025-04-22T12:50:49Z<p>Page créée avec « Dans cette page je vais donner, en vrac, les commandes openssl que j'utilise de temps en temps. Pas assez souvent pour qu'elles soient dans ma tête mais assez souvent pour ne pas devoir demande à google. == Les clés privées == === Taille de la clé privée. === On a une clé privée (comme avec la <a href="/PKI_familiale" title="PKI familiale" data-bs-title="PKI_familiale">PKI familiale</a>) et on ne se souviens plus de sa taille. On l'a crée il y a longtemps, est elle toujours assez robuste vu l'évolution des technologies?<syntax... »</p>
<p><b>Nouvelle page</b></p><div>Dans cette page je vais donner, en vrac, les commandes openssl que j'utilise de temps en temps. Pas assez souvent pour qu'elles soient dans ma tête mais assez souvent pour ne pas devoir demande à google.<br />
<br />
== Les clés privées ==<br />
<br />
=== Taille de la clé privée. ===<br />
On a une clé privée (comme avec la [[PKI familiale]]) et on ne se souviens plus de sa taille. On l'a crée il y a longtemps, est elle toujours assez robuste vu l'évolution des technologies?<syntaxhighlight lang="text"><br />
$ openssl rsa -in ca.key -text -noout | head -1<br />
RSA Private-Key: (2048 bit, 2 primes)<br />
<br />
</syntaxhighlight>On a une clé au format RSA (c'est ce qu'on a demandé) de '''2048 bits'''!<br />
<br />
== Les clés publiques ==<br />
Toujours à partir de la même clé privée on peut en extraire la partie publique:<syntaxhighlight lang="bash"><br />
openssl rsa -in CA.key -pubout<br />
</syntaxhighlight>Nous donne sur la sortie standard la clé publique :<syntaxhighlight lang="text"><br />
-----BEGIN PUBLIC KEY-----<br />
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA5pvXlS6kiFmTPMWXlYV5<br />
ygwiG+dw58EoLenOPkGrP0HNGv9Plyl+WgNB/PKbkKEVn2/cWNXNSBVJTT7sqedz<br />
4jqZvCGrO+Szmn9TsPUV+weyOf8IcgcrEm9uEQktjXrHYXU6NhKxPt9FbTEaY/th<br />
hdubH9ruevL/rqUDZ8BOozOIHCJTSR6wKHY4dEAXf3c+XpQWjpcP/RvJcfK6MMeg<br />
TsRkIkL2TkE/KDspBiwHztf+uTZ1WLVsqwveKtr0/H/WsLKoo3+F2QQzY62ocSrB<br />
4WaT/wsVCHyDISKhMjlJWj/qF9Y7UUyoSNeZmycSfCTT7KLjbj9uSABvawdTlexB<br />
9wIDAQAB<br />
-----END PUBLIC KEY-----<br />
<br />
</syntaxhighlight>Oui c'est la clé publique de ma PKI Familiale vous pouvez l'utiliser pour m'envoyer des fichier chiffrés ou vérifier l'intégrité de mes fichiers (vois signature ci dessous).<br />
<br />
Ou bien on la range dans un fichier :<syntaxhighlight lang="bash"><br />
openssl rsa -in CA.key -pubout -out public.pem<br />
</syntaxhighlight><br />
<br />
== Signatures ==<br />
<br />
=== Signer un fichier ===<br />
On a un fichier test.png qui contient une image a signer (une photo dont on veut prouver être l'auteur).<br />
<br />
On dispose de :<br />
<br />
* <code>photo.png</code> (la photo)<br />
* <code>private.key</code> (la clé privée)<br />
<syntaxhighlight lang="text"><br />
openssl dgst -sha256 -sign CA.key -out photo.sha256 photo.png<br />
openssl base64 -in photo.sha256 -out signature.txt<br />
</syntaxhighlight>Le fichier signature.txt est plus facile a échanger (c'est du texte) alors que le fichier photo.sha256 est la version binaire. <br />
<br />
Ca nous donne une signature sous forme de digest sha256. Exemple:<syntaxhighlight lang="text"><br />
CYjn+0nqpskvi6rOseZ8X5BtoDcIDvIvm6uYN/jQqAkQl3OpkKtGDwt6/25Dn3Jt<br />
0o4aOpcFAG0moNQTaVU2ut2M+UD9XEEALthkWmHWqK4t0JXj1ibuHiX4BC9f3V0i<br />
vLDi14+yurQxQMUIOBkUI7mSGceVQ2aYQtxUMBWoM7nuEG9zsCXfr6aCgfwNS1W7<br />
LBSkE50uIOnJKHS+rf/J06p69Fh8RRDwpDvkHqXINUysJg/I7QH6LdoCN275vz9k<br />
rKcuvR4LfN0m9d2qK7cWSnvP7190P50eXqOz20ZYmg34bt4nwHGdq1sh0eHJAhR2<br />
e5Pjcskbz7oqzoKdtMjZOA==<br />
</syntaxhighlight>C'est sûr mais un peu long... mais c'est ça.<br />
<br />
=== Vérifier ===<br />
On a besoin de trois choses :<br />
<br />
* <code>photo.png</code> la photo que je veux protéger<br />
* <code>public.pem</code> ma clé publique<br />
* <code>signature.txt</code> le fichier de signature généré plus haut (ou directement le <code>photo.sha256</code>)<br />
<syntaxhighlight lang="bash"><br />
openssl base64 -d -in signature.txt -out sign.sha256 # Si on ne dispose plus du fichier binaire<br />
openssl dgst -sha256 -verify public.pem -signature sign.sha256 photo.png<br />
</syntaxhighlight>Qui doit nous répondre <syntaxhighlight lang="text"><br />
Verified OK<br />
</syntaxhighlight>Lorsque tout se passe bien.<syntaxhighlight lang="text"><br />
Verification Failure<br />
</syntaxhighlight>sinon.</div>Jpinon