Microsoft MVP성태의 닷넷 이야기
글쓴 사람
정성태 (seongtaejeong at gmail.com)
홈페이지
첨부 파일

(시리즈 글이 14개 있습니다.)
.NET Framework: 292. RSACryptoServiceProvider의 공개키와 개인키 구분
; https://www.sysnet.pe.kr/2/0/1218

.NET Framework: 327. RSAParameters와 System.Numerics.BigInteger 이야기
; https://www.sysnet.pe.kr/2/0/1295

.NET Framework: 329. C# - Rabin-Miller 소수 생성방법을 이용하여 RSACryptoServiceProvider의 개인키를 직접 채워보자
; https://www.sysnet.pe.kr/2/0/1300

.NET Framework: 356. (공개키를 담은) 자바의 key 파일을 닷넷의 RSACryptoServiceProvider에서 사용하는 방법
; https://www.sysnet.pe.kr/2/0/1401

.NET Framework: 383. RSAParameters의 ToXmlString과 ExportParameters의 결과 비교
; https://www.sysnet.pe.kr/2/0/1491

.NET Framework: 565. C# - Rabin-Miller 소수 생성 방법을 이용하여 RSACryptoServiceProvider의 개인키를 직접 채워보자 - 두 번째 이야기
; https://www.sysnet.pe.kr/2/0/10925

.NET Framework: 566. openssl의 PKCS#1 PEM 개인키 파일을 .NET RSACryptoServiceProvider에서 사용하는 방법
; https://www.sysnet.pe.kr/2/0/10926

.NET Framework: 638. RSAParameters와 RSA
; https://www.sysnet.pe.kr/2/0/11140

.NET Framework: 1037. openssl의 PEM 개인키 파일을 .NET RSACryptoServiceProvider에서 사용하는 방법 (2)
; https://www.sysnet.pe.kr/2/0/12598

.NET Framework: 2093. C# - PKCS#8 PEM 파일을 이용한 RSA 개인키/공개키 설정 방법
; https://www.sysnet.pe.kr/2/0/13245

닷넷: 2297. C# - ssh-keygen으로 생성한 Public Key 파일 해석과 fingerprint 값(md5, sha256) 생성
; https://www.sysnet.pe.kr/2/0/13739

닷넷: 2297. C# - ssh-keygen으로 생성한 ecdsa 유형의 Public Key 파일 해석
; https://www.sysnet.pe.kr/2/0/13742

닷넷: 2300. C# - OpenSSH의 공개키 파일에 대한 "BEGIN OPENSSH PUBLIC KEY" / "END OPENSSH PUBLIC KEY" PEM 포맷
; https://www.sysnet.pe.kr/2/0/13747

닷넷: 2302. C# - ssh-keygen으로 생성한 Private Key와 Public Key 연동
; https://www.sysnet.pe.kr/2/0/13749




C# - OpenSSH의 공개키 파일에 대한 "BEGIN OPENSSH PUBLIC KEY" / "END OPENSSH PUBLIC KEY" PEM 포맷

근래의 ssh-keygen에서는 키 파일을 생성하는 경우 개인키 파일의 포맷이 "OPENSSH PRIVATE KEY" 구분자의 PEM 파일로 나옵니다.

// 테스트 편의상 -N "" 옵션으로 passphrase를 빈 문자열로 설정하였습니다.

c:\temp> ssh-keygen -N "" -t rsa -b 4096 -f test_rsa
...[생략]...

c:\temp> type test_rsa
-----BEGIN OPENSSH PRIVATE KEY-----
b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAACFwAAAAdzc2gtcn
...[생략]...
KN3bndgw7MlZwRCUu3PBopxuL19RWbJVMtcMBLwRHfSDHHFvtpzLPYdEeHItOK+HCv9/bD
JDyAnpeeQoQd2QAAAAtrZXZpbkBUSEUxMgECAwQFBg==
-----END OPENSSH PRIVATE KEY-----

반면, 공개키 파일은 PEM 형식으로 나오지 않는데,

c:\temp> type test_rsa.pub
ssh-rsa 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 testusr@TESTPC

이전 포맷(PKCS#1, PKCS#8)에서와는 다르게 위의 "BEGIN/END OPENSSH PRIVATE KEY" 형식을 PEM 형식으로 변환하는 방법을 ssh-keygen 및 openssl은 제공하지 않습니다. (제가 방법을 모르는 것일 수도 있습니다. ^^;)




재미있는 건, "BEGIN OPENSSH PUBLIC KEY" / "END OPENSSH PUBLIC KEY" 구분자를 가진 공개키 파일에 대한 검색도 잘 안됩니다. 한 가지 찾은 것이 다음의 글인데요,

Justin Freid’s PGP & SSH Public Keys
; https://justinfreid.com/justin-freids-pgp-ssh-public-keys/

위에서는 단지 "BEGIN OPENSSH PUBLIC KEY" / "END OPENSSH PUBLIC KEY" 구분자 사이에 OpenSSH의 (rfc4253 포맷으로 출력된) 공개키를 그대로 복사해 넣은 유형으로 보여줍니다.

-----BEGIN OPENSSH PUBLIC KEY-----
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAACAQCvnNE7kvQyCLJIi3i1hZwVmLNheUb8E1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 testusr@TESTPC
-----END OPENSSH PUBLIC KEY-----

그다음, python으로 된 소스코드를 하나 찾은 것에도,

Generate ed25515 OpenSSH keys with Python3 cryptography library
; https://gist.github.com/thebluesnevrdie/f1522bf5305d561f42dac25ff398f2e9

#### pip install cryptography
from cryptography.hazmat.primitives.asymmetric import rsa, ed25519
from cryptography.hazmat.primitives import serialization, hashes

private_key = ed25519.Ed25519PrivateKey.generate()
public_key = private_key.public_key()

our_private = private_key.private_bytes(
    encoding=serialization.Encoding.PEM,
    format=serialization.PrivateFormat.OpenSSH,
    encryption_algorithm=serialization.NoEncryption(),
)

our_public = public_key.public_bytes(
    encoding=serialization.Encoding.OpenSSH, format=serialization.PublicFormat.OpenSSH
)

print(our_private.decode("utf-8"))
print("-----BEGIN OPENSSH PUBLIC KEY-----")
print(our_public.decode("utf-8"))
print("-----END OPENSSH PUBLIC KEY-----")

실제로 실행해 보면 public key에 대해 이런 식으로 나옵니다.

-----BEGIN OPENSSH PRIVATE KEY-----
b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAAAMwAAAAtzc2gtZWQyNTUx
OQAAACDQ3a1hJeJfZzky2WZPt4FbX7poA8TV/E9FxF+WDpBPQwAAAIj6Yds3+mHbNwAAAAtzc2gt
ZWQyNTUxOQAAACDQ3a1hJeJfZzky2WZPt4FbX7poA8TV/E9FxF+WDpBPQwAAAEB/KFTh1ivE0ozW
JF4qq7nNWeU/U+UJIbo8cWLJqnsXZtDdrWEl4l9nOTLZZk+3gVtfumgDxNX8T0XEX5YOkE9DAAAA
AAECAwQF
-----END OPENSSH PRIVATE KEY-----

-----BEGIN OPENSSH PUBLIC KEY-----
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAINDdrWEl4l9nOTLZZk+3gVtfumgDxNX8T0XEX5YOkE9D
-----END OPENSSH PUBLIC KEY-----

이 결과는 "Justin Freid’s PGP & SSH Public Keys" 글에서의 표현과 같습니다. (단지, 마지막에 comment만 없는 것이 다릅니다.)




사실 PEM(Privacy Enhanced Mail) 형식이라는 것은 일종의 컨테이너에 불과합니다.

PKCS#1 and PKCS#8 format for RSA private key [closed]
; https://stackoverflow.com/questions/48958304/pkcs1-and-pkcs8-format-for-rsa-private-key

How to get .pem file from .key and .crt files?
; https://stackoverflow.com/questions/991758/how-to-get-pem-file-from-key-and-crt-files

RFC 1422 문서로 복잡하게 명시하고 있지만, 간략하게는 다음과 같은 정도의 형식만 가지면 PEM 형식이라고 할 수 있습니다.

  • a line consisting of 5 hyphens, the word BEGIN, one or a few (space-separated) words defining the type of data, and 5 hyphens
  • an optional (and rare) rfc822-style header, terminated by an empty line
  • base64 of the data, broken into lines of 64 characters (except the last); some programs instead use the (slightly newer) MIME limit of 76 characters
  • a line like the BEGIN line but with END instead

따라서, "BEGIN OPENSSH PUBLIC KEY" / "END OPENSSH PUBLIC KEY" 구분자를 가진 공개키 파일의 PEM 형식은 OpenSSL 측에서 정의해 그렇게 사용하면 그만입니다.

단지, 중요한 것은 그 내부의 content 포맷까지 합의가 되었는지에 대해서는 다른 문제입니다. 가령, 구분자 문자열이 "BEGIN/END RSA PRIVATE KEY"인 경우에는 내부 content가 PKCS#1 형식이어야 하고, "BEGIN/END PRIVATE KEY"인 경우에는 PKCS#8 형식이어야 합니다.

반면, OpenSSL 측이 "BEGIN/END OPENSSH PUBLIC KEY"에 대해 내부 포맷을 rfc4253 방식으로 정의했다고 가정하면 이전에 설명한 방법으로 해석하면 됩니다. 예를 들어 볼까요?

-----BEGIN OPENSSH PUBLIC KEY-----
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAID7ttyIQ8COKmzPeAA5YhMu1IqRvOME3kgAlybbTBB9q
-----END OPENSSH PUBLIC KEY-----

우선 ed25519는 EdDSA 서명 알고리즘의 변형이라고 하는데요, "작은 공개키(32 또는 57 바이트)"라는 표현에 따라 단일 값으로 보입니다. 따라서 포맷 자체는 이렇게 간단할 듯한데요,

string  "algorithm_name"
int     P

실제로 "AAAAC3NzaC1lZDI1NTE5AAAAID7ttyIQ8COKmzPeAA5YhMu1IqRvOME3kgAlybbTBB9q" 값을 분해해 보면 다음의 값이 나옵니다.

"ssh-ed25519"
byte [32]

자, 그럼 이것을 사용해 봐야 할 텐데, 아쉽게도 .NET Cryptography 어셈블리에는 EdDSA 알고리즘을 지원하는 타입이 없습니다. 검색해 보면,

EdDSA for JWT Signing in .NET Core
; https://www.scottbrady91.com/c-sharp/eddsa-for-jwt-signing-in-dotnet-core

어쩔 수 없이 다시 Bouncy Castle을 사용해 대충 이렇게 예제 코드를 만들 수 있습니다. ^^

using Org.BouncyCastle.Crypto.Parameters;
using Org.BouncyCastle.Crypto.Signers;
using System.Text;

namespace ConsoleApp1;

// Install-Package BouncyCastle.Cryptography
internal class Program
{
    static void Main(string[] args)
    {
        string text = File.ReadAllText("test_rsa.pub.pem");

        {
            text = text.Replace("-----BEGIN OPENSSH PUBLIC KEY-----", "")
                .Replace("-----END OPENSSH PUBLIC KEY-----", "").Trim();

            string[] sshKeys = text.Split(' ');
            if (sshKeys.Length < 2)
            {
                throw new Exception("Invalid SSH Key");
            }

            string keyType = sshKeys[0];
            string comment = (sshKeys.Length >= 3) ? sshKeys[2] : "";
            byte[] bytesEncoded = Convert.FromBase64String(sshKeys[1]);

            if (keyType != "ssh-ed25519")
            {
                throw new NotSupportedException($"Unsupported key type: {keyType}");
            }

            (string algorithmName, byte[] publicKey) = DecodeSSHPublicKey(bytesEncoded);

            Ed25519PublicKeyParameters publicKeyParam = new Ed25519PublicKeyParameters(publicKey);

            Ed25519Signer signer = new Ed25519Signer();
            signer.Init(false, publicKeyParam);

            // verify signature...
        }
    }

    private static (string algorithmName, byte[] publicKey) DecodeSSHPublicKey(byte[] bytesEncoded)
    {
        string algorithmName;
        byte[] publicKey;

        using (var stream = new MemoryStream(bytesEncoded))
        using (var reader = new BinaryReader(stream))
        {
            int algorithmLength = reader.ReadInt32BE();
            algorithmName = Encoding.ASCII.GetString(reader.ReadBytes(algorithmLength));

            int length = reader.ReadInt32BE();
            publicKey = reader.ReadBytes(length);
        }

        return (algorithmName, publicKey);
    }
}

public static class BinaryReaderExtension
{
    public static Int32 ReadInt32BE(this BinaryReader reader)
    {
        byte[] bytes = new byte[4];
        bytes[3] = (byte)reader.ReadByte();
        bytes[2] = (byte)reader.ReadByte();
        bytes[1] = (byte)reader.ReadByte();
        bytes[0] = (byte)reader.ReadByte();
        return BitConverter.ToInt32(bytes);
    }
}

혹시, OpenSSH/OpenSSL 관련 코드를 잘 아시는 분이 있다면... ^^ "BEGIN OPENSSH PUBLIC KEY" / "END OPENSSH PUBLIC KEY" 파일이 정말 정의된 것인지, 그리고 그것의 내부 포맷이 이 글에서 설명한 것과 같은 것인지 덧글 부탁드립니다.

(첨부 파일은 이 글의 예제 코드를 포함합니다.)




[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]







[최초 등록일: ]
[최종 수정일: 9/28/2024]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer at outlook.com

비밀번호

댓글 작성자
 




1  2  [3]  4  5  6  7  8  9  10  11  12  13  14  15  ...
NoWriterDateCnt.TitleFile(s)
13789정성태10/27/20241440Linux: 97. menuconfig에 CONFIG_DEBUG_INFO_BTF, CONFIG_DEBUG_INFO_BTF_MODULES 옵션이 없는 경우
13788정성태10/26/20241488Linux: 96. eBPF (bpf2go) - fentry, fexit를 이용한 트레이스
13787정성태10/26/20241412개발 환경 구성: 730. github - Linux 커널 repo를 윈도우 환경에서 git clone하는 방법 [1]
13786정성태10/26/20241583Windows: 266. Windows - 대소문자 구분이 가능한 파일 시스템
13785정성태10/23/20241614C/C++: 182. 윈도우가 운영하는 2개의 Code Page파일 다운로드1
13784정성태10/23/20241643Linux: 95. eBPF - kprobe를 이용한 트레이스
13783정성태10/23/20241497Linux: 94. eBPF - vmlinux.h 헤더 포함하는 방법 (bpf2go에서 사용)
13782정성태10/23/20241436Linux: 93. Ubuntu 22.04 - 커널 이미지로부터 커널 함수 역어셈블
13781정성태10/22/20241421오류 유형: 930. WSL + eBPF: modprobe: FATAL: Module kheaders not found in directory
13780정성태10/22/20241530Linux: 92. WSL 2 - 커널 이미지로부터 커널 함수 역어셈블
13779정성태10/22/20241486개발 환경 구성: 729. WSL 2 - Mariner VM 커널 이미지 업데이트 방법
13778정성태10/21/20241675C/C++: 181. C/C++ - 소스코드 파일의 인코딩, 바이너리 모듈 상태의 인코딩
13777정성태10/20/20241577Windows: 265. Win32 API의 W(유니코드) 버전은 UCS-2일까요? UTF-16 인코딩일까요?
13776정성태10/19/20241588C/C++: 180. C++ - 고수준 FILE I/O 함수에서의 Unicode stream 모드(_O_WTEXT, _O_U16TEXT, _O_U8TEXT)파일 다운로드1
13775정성태10/19/20241508개발 환경 구성: 728. 윈도우 환경의 개발자를 위한 UTF-8 환경 설정
13774정성태10/18/20241474Linux: 91. Container 환경에서 출력하는 eBPF bpf_get_current_pid_tgid의 pid가 존재하지 않는 이유
13773정성태10/18/20241801Linux: 90. pid 네임스페이스 구성으로 본 WSL 2 + docker-desktop
13772정성태10/17/20241670Linux: 89. pid 네임스페이스 구성으로 본 WSL 2 배포본의 계층 관계
13771정성태10/17/20241674Linux: 88. WSL 2 리눅스 배포본 내에서의 pid 네임스페이스 구성
13770정성태10/17/20241479Linux: 87. ps + grep 조합에서 grep 명령어를 사용한 프로세스를 출력에서 제거하는 방법
13769정성태10/15/20241980Linux: 86. Golang + bpf2go를 사용한 eBPF 기본 예제파일 다운로드1
13768정성태10/15/20241633C/C++: 179. C++ - _O_WTEXT, _O_U16TEXT, _O_U8TEXT의 Unicode stream 모드파일 다운로드2
13767정성태10/14/20241602오류 유형: 929. bpftrace 수행 시 "ERROR: Could not resolve symbol: /proc/self/exe:BEGIN_trigger"
13766정성태10/14/20241699C/C++: 178. C++ - 파일에 대한 Text 모드의 "translated" 동작파일 다운로드1
13765정성태10/12/20241478오류 유형: 928. go build 시 "package maps is not in GOROOT" 오류
13764정성태10/11/20241392Linux: 85. Ubuntu - 원하는 golang 버전 설치
1  2  [3]  4  5  6  7  8  9  10  11  12  13  14  15  ...