C# - PEM 파일을 이용한 RSA 개인키/공개키 설정 방법
예전에 쓴 글이,
openssl의 PEM 개인키 파일을 .NET RSACryptoServiceProvider에서 사용하는 방법
; https://www.sysnet.pe.kr/2/0/10926
C# - BouncyCastle을 사용한 암호화/복호화 예제
; https://www.sysnet.pe.kr/2/0/12992
이제는 openssl의 내용이 달라져서 헤매는 분들이 계시는군요. ^^ 이참에 업데이트 차원에서 글을 남깁니다.
openssl 도구를 이용하면 개인키를 담은 RSA PEM 파일을 다음과 같이 쉽게 생성할 수 있습니다.
c:\temp> openssl genrsa 2048
-----BEGIN PRIVATE KEY-----
MIIEvgIBADANBgkqhkiG9w0BAQEFAASCBKgwggSkAgEAAoIBAQC1IWcgsx34cMS8
K17VxHTQzpGRpIx4KTgrrJl2C14gh9PrbHCye9HipPwXhysLJ+PQLtWm9mx8jZC2
...[생략]...
Mon/3wDEyLMOftFNgaaAOOkMefhPABwQ1TG1lApa1mk3zGaTvbnksYbvHUohtedm
9MKZgdIakI4h9a74xwQv0+CE
-----END PRIVATE KEY-----
예전 글에서는 저 명령어의 결과로 "BEGIN RSA PRIVATE KEY" / "END RSA PRIVATE KEY" 쌍으로 나왔는데 이제는 "RSA"라는 문자열이 빠져 있습니다. 왜냐하면, 생성한 (base64 인코딩된) 데이터에 Key의 종류까지 포함하고 있기 때문입니다.
위와 같이 생성한 개인키는 이제 BouncyCastle을 이용해 다음과 같이 읽을 수 있습니다.
// Install-Package BouncyCastle.Cryptography
string privateKeyFilePath = "prvkey.pem";
Org.BouncyCastle.OpenSsl.PemReader pem = new Org.BouncyCastle.OpenSsl.PemReader(File.OpenText(privateKeyFilePath));
var key = pem.ReadObject() as Org.BouncyCastle.Crypto.Parameters.RsaPrivateCrtKeyParameters;
RSA는 서로의 키로 암호화한 데이터를 복호화하는 것이 가능합니다. 가령 개인키로 암호화하면 공개키로 복호화할 수 있고, 공개키로 암호화하면 개인키로 복호화할 수 있습니다. 하지만 키의 배포 측면에서 현실적인 이유로 인해, 보통은 공개키로 암호화하고 개인키로 복호화합니다. (아울러, 개인키로는 서명하고, 공개키로는 서명을 검증합니다.)
또한, 개인키 자체에는 공개키 데이터도 포함돼 있기 때문에 어찌 보면 위에서 구한 RsaPrivateCrtKeyParameters로 암호화를 하면 될 것도 같습니다.
string plainText = "Hello World";
byte[] encBuffer = EncryptData(key, plainText);
private static byte[] EncryptData(ICipherParameters keyParam, string data)
{
var cipher = CipherUtilities.GetCipher("RSA/NONE/OAEPWITHSHA256ANDMGF1PADDING");
cipher.Init(true, keyParam); // true == 암호화
byte[] plain = Encoding.UTF8.GetBytes(data);
return cipher.DoFinal(plain);
}
그런데, 저렇게 암호화한 데이터를 복호화하려고 하면,
Console.WriteLine(DecryptData(key, encBuffer));
private static string DecryptData(ICipherParameters keyParam, byte[] encrypted)
{
var cipher = CipherUtilities.GetCipher("RSA/NONE/OAEPWITHSHA256ANDMGF1PADDING");
cipher.Init(false, keyParam); // false == 복호화
return Encoding.UTF8.GetString(cipher.DoFinal(encrypted));
}
"Org.BouncyCastle.Crypto.InvalidCipherTextException: data wrong" 예외가 발생합니다.
Unhandled exception. Org.BouncyCastle.Crypto.InvalidCipherTextException: data wrong
at Org.BouncyCastle.Crypto.Encodings.OaepEncoding.DecodeBlock(Byte[] inBytes, Int32 inOff, Int32 inLen) in C:\Users\Peter\code\bc-csharp-release\crypto\src\crypto\encodings\OaepEncoding.cs:line 272
at Org.BouncyCastle.Crypto.Encodings.OaepEncoding.ProcessBlock(Byte[] inBytes, Int32 inOff, Int32 inLen) in C:\Users\Peter\code\bc-csharp-release\crypto\src\crypto\encodings\OaepEncoding.cs:line 124
at Org.BouncyCastle.Crypto.BufferedAsymmetricBlockCipher.DoFinal() in C:\Users\Peter\code\bc-csharp-release\crypto\src\crypto\BufferedAsymmetricBlockCipher.cs:line 152
at Org.BouncyCastle.Crypto.BufferedAsymmetricBlockCipher.DoFinal(Byte[] input, Int32 inOff, Int32 length) in C:\Users\Peter\code\bc-csharp-release\crypto\src\crypto\BufferedAsymmetricBlockCipher.cs:line 167
at Org.BouncyCastle.Crypto.BufferedCipherBase.DoFinal(Byte[] input)
at ConsoleApp1.Program.DecryptData(ICipherParameters keyParam, Byte[] encrypted)
at ConsoleApp1.Program.Main(String[] args)
아마도 키 자체가 RsaPrivateCrtKeyParameters 타입이기 때문에 암호화를 할 때 (공개키를 사용하지 않고) 개인키를 이용해 암호화를 한 것으로 보입니다. 그래서 복호화 할 때도 마찬가지로 개인키를 사용하기 때문에 "data wrong" 오류가 발생하는 것인데요, 실제로 이에 대한 확인을 복호화할 때 공개키를 명시적으로 지정해 보면 됩니다.
이를 위해 개인키로부터 공개키를 분리해 내고,
c:\temp> openssl rsa -pubout -in prvkey.pem -out pubkey.pem
writing RSA key
다음과 같이 테스트할 수 있습니다.
static void Main(string[] args)
{
string privateKeyFilePath = "prvkey.pem";
string publicKeyFilePath = "pubkey.pem";
Org.BouncyCastle.OpenSsl.PemReader pem = new Org.BouncyCastle.OpenSsl.PemReader(File.OpenText(privateKeyFilePath));
var key = pem.ReadObject() as Org.BouncyCastle.Crypto.Parameters.RsaPrivateCrtKeyParameters;
if (key == null)
{
Console.WriteLine("Private Key is null");
return;
}
string plainText = "Hello World";
byte[] encBuffer = EncryptData(key, plainText);
Console.WriteLine(Convert.ToBase64String(encBuffer));
pem = new Org.BouncyCastle.OpenSsl.PemReader(File.OpenText(publicKeyFilePath));
var pubkey = pem.ReadObject() as Org.BouncyCastle.Crypto.Parameters.RsaKeyParameters;
if (pubkey == null)
{
Console.WriteLine("Public Key is null");
return;
}
Console.WriteLine(DecryptData(pubkey, encBuffer));
}
코드는 보는 바와 같이 개인키로 암호화가 된 것을 공개키로 복호화하기 때문에 잘 동작합니다. 물론, 원래대로 아래와 같이 공개키를 이용해 암호화하고 개인키를 이용해 복호화하도록 코딩해야 합니다.
static void Main(string[] args)
{
string privateKeyFilePath = "prvkey.pem";
string publicKeyFilePath = "pubkey.pem";
Org.BouncyCastle.OpenSsl.PemReader pem = new Org.BouncyCastle.OpenSsl.PemReader(File.OpenText(publicKeyFilePath));
var key = pem.ReadObject() as Org.BouncyCastle.Crypto.Parameters.RsaKeyParameters;
if (key == null)
{
Console.WriteLine("Public Key is null");
return;
}
string plainText = "Hello World";
byte[] encBuffer = EncryptData(key, plainText);
Console.WriteLine(Convert.ToBase64String(encBuffer));
pem = new Org.BouncyCastle.OpenSsl.PemReader(File.OpenText(privateKeyFilePath));
var pubkey = pem.ReadObject() as Org.BouncyCastle.Crypto.Parameters.RsaPrivateCrtKeyParameters;
if (pubkey == null)
{
Console.WriteLine("Private Key is null");
return;
}
Console.WriteLine(DecryptData(pubkey, encBuffer));
}
참고로, 여전히 "RSA" 문자열이 있는 PKCS#1 포맷으로 생성하고 싶다면 -traditional 옵션을 적용하면 됩니다.
c:\temp> openssl genrsa -traditional 2048
-----BEGIN RSA PRIVATE KEY-----
MIIEowIBAAKCAQEAv0t1fMeb6iIcgDAPXI/HD4XruSkCMAoNMSEGVN4OElF0oU4i
CIKpf91/ukoIC73AZwOFyx6gDTx6KErIYR1aN3JwcXkBTlk9r/K+8jME21c5SQXf
...[생략]...
ZsZ6SRYcsXZO9Lw08lnQuNbJaxYyVIORxZf/rzVmFuPiGTbjqwdD6FF5ks0zHYtI
5iClwv97z+UVmw/mzHkM0gqhinMYhHvY25Fr5i/hT9SNoLTwK4PO
-----END RSA PRIVATE KEY-----
그런데, 사실 이제 더 이상 BouncyCastle을 사용할 필요가 없습니다. 왜냐하면, .NET 5부터 PEM 파일에 대한 지원이 추가되었기 때문입니다.
How to read a PEM RSA private key from .NET
; https://stackoverflow.com/questions/243646/how-to-read-a-pem-rsa-private-key-from-net
그래서 다음과 같이 바로 처리할 수 있습니다.
using System;
using System.IO;
using System.Security.Cryptography;
using System.Text;
internal class Program
{
static void Main(string[] args)
{
string privateKeyFilePath = "prvkey.pem";
string publicKeyFilePath = "pubkey.pem";
byte[] encBuffer = null;
{
var rsa = RSA.Create();
string text = File.ReadAllText(publicKeyFilePath);
rsa.ImportFromPem(text.ToCharArray());
string plainText = "Hello World";
byte[] buffer = Encoding.UTF8.GetBytes(plainText);
encBuffer = rsa.Encrypt(buffer, RSAEncryptionPadding.OaepSHA256);
}
{
var rsa = RSA.Create();
string text = File.ReadAllText(privateKeyFilePath);
rsa.ImportFromPem(text.ToCharArray());
byte[] buffer = rsa.Decrypt(encBuffer, RSAEncryptionPadding.OaepSHA256);
Console.WriteLine(Encoding.UTF8.GetString(buffer));
}
}
}
개인키/공개키 상관없이 일괄적으로
ImportFromPem 메서드를 호출하면 끝입니다. ^^
(
첨부 파일은 이 글의 예제 코드를 포함합니다.)
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]