はじめに：opensslの操作について

opensslコマンドは増築に増築を重ねすぎており、もはやそびえ立つ××のようである。ヤヴァいことになったレベルで機能てんこ盛りのコマンドなので、サブコマンドとして機能名を指定して使うことになる。

openssl command [ command_opts ] [ command_args ]

上例の「command」には、RSA秘密鍵を作るgenrsa、乱数を作るrand、X.509証明書を扱うx509などなどを指定する。というか、どう考えても詰め込みすぎだ。

また、コマンド実行時の入力／出力ファイルの指定は、UNIX式のリダイレクト < と > 以外に、 -in と -out オプションを指定することもできる。この両者の記述法は混在できるため(たとえば入力は-inで指定して、出力は > 、とか)、この辺の流儀が人によって違うのでさらに混乱を招いている(気がする)。

本稿ではなるたけシンプルにするため以下のルールで書くことにしている。

• 入力出力ファイルは、 -in / -out オプションは使わず、リダイレクトのみで書く。
• 入力出力ファイルは、コマンドとオプションを書いた後の一番後ろに、入力→出力の順で書く。

例。

# こういうのは分かりにくいので書かない。
$ openssl rsa -in private-key.pem -pubout > public-key.pem

# こう書くルールにする。
$ openssl rsa -pubout < private-key.pem > public-key.pem

はじめに：もうひとつ注意

この記事では例示のために秘密鍵の中身を晒していますが、鍵を実際に運用する際、これは絶対にやってはいけないことです。秘密鍵(Private Key)は自分だけしか知らない、公開鍵(Public Key)は見せても良い。間違えないように。

秘密鍵の作成

ではまず、これが無ければはじまらないRSA秘密鍵を作ろう。genrsaコマンドで作ることができる。まずはオプション無しのデフォルトの動きを見てみよう。

$ openssl genrsa > private-key.pem
Generating RSA private key, 1024 bit long modulus
......++++++
......++++++
e is 65537 (0x10001)

私がMacOSで使っているopenssl 1.0.1e 11 Feb 2013では、デフォルトのbit数は1024bitだった。これは2013年現在では、もはや若干不安の残るbit数である。というわけで、秘密鍵は2048bitで作成しよう。これは単にオプションに数字を入れればいいだけだ。

$ openssl genrsa 2048 > private-key.pem
Generating RSA private key, 2048 bit long modulus
..................................................+++
.........+++
e is 65537 (0x10001)

pemとは何なのか

出来上がったファイルの名前は、ここではprivate-key.pemとしている。拡張子の.pemは、PEM形式というフォーマットで生成しているからこう名付けている。なおファイル名は何でも良いので、目的によっては server.key など拡張子として.keyを使うこともある(Apacheのデフォルトconfはそうですね)。

なぜ人によって拡張子の名付けが違うかと言うと。

• ファイル形式がPEMなんだから。と思う人は .pem を使う。
• これは鍵ファイルだから。と思う人は .key を使う。

どちらの言い分も一理あるが、SSL証明書も扱おうとすると、あれはすべてPEM形式なので、鍵ファイルも証明書ファイルも全部.pemになってしまうので若干ややこしいと個人的には思う(.key派は、.crtなど拡張子を見ればファイル種別がある程度分かる)。

あなたがどちら派でも構わないが、特に.pem派の場合は、なるたけファイル名に見てすぐ意味が分かる名前を付けよう。

で、作った素数は秘密鍵ファイルのどこに書かれてるの?

さて秘密鍵を作ったのだから、さっそく素数を見てみたい。大きな素数の積と聞いたが、それはこのファイルのどこにあるんだろう? 普通にcatしても、以下のように意味が分からない文字列が出るだけだ。

$ cat private-key.pem
-----BEGIN RSA PRIVATE KEY-----
MIGJAgEAAhkM6qw2097tLLrrxyvroAP1KpFST7zqDGs3AgMBAAECGQU3fqiCN8Yo
y7HQdmzDbRuk6F/1M0m8iukCDQOyZBmc2iP+oQa3HbUCDQN+dZKDR5Sgyqf12LsC
DQNzL0dXwZtlvRBvQyECDQH8T9yfdoJkjka9VBkCDQM93ozWDaFqvCR3J9I=
-----END RSA PRIVATE KEY-----

さてRSA秘密鍵から人が読める形式に出力するには、rsaコマンドの -text オプションを使えば良い。以下のような出力になる。なお、これは見やすくするため196bitの鍵なので短め。

$ openssl rsa -text < private-key.pem
Private-Key: (196 bit)
modulus:
   0c:ea:ac:36:d3:de:ed:2c:ba:eb:c7:2b:eb:a0:03:
   f5:2a:91:52:4f:bc:ea:0c:6b:37
publicExponent: 65537 (0x10001)
privateExponent:
   05:37:7e:a8:82:37:c6:28:cb:b1:d0:76:6c:c3:6d:
   1b:a4:e8:5f:f5:33:49:bc:8a:e9
prime1:
   03:b2:64:19:9c:da:23:fe:a1:06:b7:1d:b5
prime2:
   03:7e:75:92:83:47:94:a0:ca:a7:f5:d8:bb
exponent1:
   03:73:2f:47:57:c1:9b:65:bd:10:6f:43:21
exponent2:
   01:fc:4f:dc:9f:76:82:64:8e:46:bd:54:19
coefficient:
   03:3d:de:8c:d6:0d:a1:6a:bc:24:77:27:d2
writing RSA key
-----BEGIN RSA PRIVATE KEY-----
MIGJAgEAAhkM6qw2097tLLrrxyvroAP1KpFST7zqDGs3AgMBAAECGQU3fqiCN8Yo
y7HQdmzDbRuk6F/1M0m8iukCDQOyZBmc2iP+oQa3HbUCDQN+dZKDR5Sgyqf12LsC
DQNzL0dXwZtlvRBvQyECDQH8T9yfdoJkjka9VBkCDQM93ozWDaFqvCR3J9I=
-----END RSA PRIVATE KEY-----

わー、なんかいっぱい出てきた。で、2つの素数ってどれ?

prime1:
   03:b2:64:19:9c:da:23:fe:a1:06:b7:1d:b5
prime2:
   03:7e:75:92:83:47:94:a0:ca:a7:f5:d8:bb

$ openssl genrsa 40 > private-key.pem
$ openssl rsa -text < private-key.pem
Private-Key: (40 bit)
modulus: 883643360161 (0xcdbd3fa3a1)
publicExponent: 65537 (0x10001)
privateExponent: 56993035025 (0xd450cb311)
prime1: 941933 (0xe5f6d)
prime2: 938117 (0xe5085)
exponent1: 497433 (0x79719)
exponent2: 611793 (0x955d1)
coefficient: 267819 (0x4162b)
writing RSA key
-----BEGIN RSA PRIVATE KEY-----
MDACAQACBgDNvT+joQIDAQABAgUNRQyzEQIDDl9tAgMOUIUCAweXGQIDCVXRAgME
Fis=
-----END RSA PRIVATE KEY-----

公開鍵の作成

秘密鍵ができれば、そこから公開鍵を作るのは簡単である。RSAの原理から言っても、2つの素数を隠してその積だけ見せる……と考えれば簡単だと分かりますね。

公開鍵は、秘密鍵を入力ファイルとして、rsaコマンドの-puboutオプションで出力できる。

$ openssl rsa -pubout < private-key.pem > public-key.pem
writing RSA key

これで出来上がった public-key.pem が公開鍵ファイルである。さっそく中身を見てみよう。

$ openssl rsa -text -pubin < public-key.pem
Public-Key: (196 bit)
Modulus:
   0c:ea:ac:36:d3:de:ed:2c:ba:eb:c7:2b:eb:a0:03:
   f5:2a:91:52:4f:bc:ea:0c:6b:37
Exponent: 65537 (0x10001)
writing RSA key
-----BEGIN PUBLIC KEY-----
MDQwDQYJKoZIhvcNAQEBBQADIwAwIAIZDOqsNtPe7Sy668cr66AD9SqRUk+86gxr
NwIDAQAB
-----END PUBLIC KEY-----

先ほどの秘密鍵と見比べると分かるけど、積(Modulus)とpublicExponentだけしか入ってない。なるほど、素数のprime1などは入っていないぞ。ということで、このファイルは公開してもいいんだな。と確認できた。

eとかprimeとかpublicExponentとか

見た通り、RSA公開鍵は2つの素数の積(Modulus)とpublicExponentの2つである。

一方、秘密鍵は2つの素数がキモという話をしてきたけど、RSAの実装としては実は[2つの素数が秘密鍵]では無い。暗号・復号の都合上、実際の秘密鍵はprivateExponentである。

RSAでは、以下のように鍵を生成する。WikipediaのRSA暗号の項目の引き写しになるけど：

• 2つの素数をp,qとする。これはopensslではprime1,prime2である。
• 素数の積pqをnとする。これはopensslではmodulusである。
• φ(n)=(p-1)(q-1)とする。
• eを、φ(n)と互いに素な数から適当に選ぶ。これはopensslではpublicExponentである。eは候補がいくつもあるが、実装上はe=65537で決め打ちのようである。なぜこの値かと言うと、65537は2進数で書くと10000000000000001となり、ビットがほとんど立っていない。暗号化する際はe乗するので、なるたけビットが立っていない方が高速に計算できるからである。
• dを、eとの積がφ(n)を法としたとき1となるよう選ぶ。つまり d * e ≡ 1 (mod φ(n))。これはopensslではprivateExponentである。

実際に暗号化・復号してみる

ではせっかく秘密鍵と公開鍵を作ったので、これで暗号化して、そして復号してみよう。シナリオとして、Aliceの公開鍵(public-key.pem)を取得したBobが、通信文 "HELLO" を送ることを考える。

$ echo "HELLO" | openssl rsautl -encrypt -pubin -inkey public-key.pem > message

$ cat message | openssl rsautl -decrypt -inkey private-key.pem
HELLO

サンプルスクリプト

• https://github.com/ozuma/openssl

サーバ証明書

作成した秘密鍵を元にオレオレ証明書を作る手順は、次の記事にまとめました：オレオレ証明書をopensslで作る（詳細版） - ろば電子が詰まっている

参考リンク

• RSA暗号 - Wikipedia
• SSL/TLS の導入 (1)
• opensslで公開鍵暗号方式を使ってみる - adsaria mood