java.security.Key.getEncoded() 是不是以 DER 编码格式返回数据？

Posted 2023-02-22

【中文标题】java.security.Key.getEncoded() 是不是以 DER 编码格式返回数据？

【英文标题】：Do java.security.Key.getEncoded() return data in DER encoded format?java.security.Key.getEncoded() 是否以 DER 编码格式返回数据？

【发布时间】：2011-02-25 06:14:57

【问题描述】：

java.security.Key.getEncoded() 是否以DER 编码格式返回数据？

如果没有，有什么方法可以吗？

更新：持有 RSA 私钥实现的密钥接口

【问题讨论】：

看this的答案，我认为PrivateKey.getEncoded()返回PKCS#8格式，PublicKey.getEncoded()返回X509格式。

【参考方案1】：

取决于密钥的类型。大多数对称密钥返回没有编码的原始字节。大多数公钥使用 ASN.1/DER 编码。

您不应该关心密钥的编码方式。将 getEncoded 视为序列化函数。它返回密钥的字节流表示，可以保存并稍后转换回密钥。

对于 RSA 私钥，它可能被编码为 PKCS#1 或 PKCS#8。 PKCS#1 是首选编码，因为它包含可加速私钥操作的额外 CRT 参数。

Sun JCE 始终以 PKCS#1 编码生成密钥对，因此私钥始终以 PKCS#1 中定义的这种格式编码，

-- 
-- Representation of RSA private key with information for the CRT algorithm.
--
RSAPrivateKey ::= SEQUENCE 
    version           Version, 
    modulus           INTEGER,  -- n
    publicExponent    INTEGER,  -- e
    privateExponent   INTEGER,  -- d
    prime1            INTEGER,  -- p
    prime2            INTEGER,  -- q
    exponent1         INTEGER,  -- d mod (p-1)
    exponent2         INTEGER,  -- d mod (q-1) 
    coefficient       INTEGER,  -- (inverse of q) mod p
    otherPrimeInfos   OtherPrimeInfos OPTIONAL 


Version ::= INTEGER  two-prime(0), multi(1) 
    (CONSTRAINED BY -- version must be multi if otherPrimeInfos present --)

OtherPrimeInfos ::= SEQUENCE SIZE(1..MAX) OF OtherPrimeInfo


OtherPrimeInfo ::= SEQUENCE 
    prime             INTEGER,  -- ri
    exponent          INTEGER,  -- di
    coefficient       INTEGER   -- ti

【讨论】：

请看我的更新。顺便说一句，我需要获取在 DER（其项目规范）中编码的数据。

如果您只处理 RSA 私钥，getEncoded() 总是返回 DER 编码的八位字节流。但是，根据密钥的来源，使用了 2 种不同的 ASN.1 对象。

顺便问一下，如果不问太多，使用的 2 个不同的 ASN.1 对象是什么？你知道java.security.KeyPairGenerator.getInstance("RSA", "BC").generateKeyPair().getPrivate()用的是哪个吗？

使用 RSAPrivateCrtKey.getEncoded() 进行测试，对我来说看起来像 PKCS#8。

"您不应该关心密钥是如何编码的。将 getEncoded 视为序列化函数。" > 我不同意这一点。 documentation 建议它“是在 Java 虚拟机之外需要密钥的标准表示时使用的密钥的外部编码形式，例如将密钥传输给其他方时。” .所以格式在很多场合都很重要。