OpenSSL 버전 및 기타 파일 형식 등에 의존해서는 안되는 RSA 개인 키에서 동일한 비밀번호를 생성하는 재현 가능한 방법이 필요합니다.
감사해요!
편집 1:
openssl dgst -sha256 -sign private.key -out signature /dev/null
나중에 이 명령을 다시 시도하면 서명 파일이 정확히 동일하게(가장 가까운 옥텟까지) 유지되는지 궁금합니다.
편집 2:
실제로 EFI 이미지(EFI 스텁 + 커널 + initrd)에 서명하기 위해 보안 부팅에 사용되는 각 시스템에 대한 키를 생성하는 PKI가 있습니다. 각 커널 업그레이드에 대해 EFI 이미지를 재생성하려면 시스템에서 개인 키를 알아야 합니다. 개인 키는 LUKS로 암호화된 rootfs에 저장되며 부팅 시 TPM을 사용하여 잠금 해제됩니다.
요구 사항: TPM 외에도 암호화된 컨테이너의 잠금을 해제할 수 있도록 RSA 키에서 파생되고 LUKS 슬롯에 저장된 512비트 긴 키를 생성하고 싶습니다.
이렇게 하면 PKI 데이터베이스의 해당 RSA 개인 키를 사용하여 손상된 시스템에서 암호화된 디스크를 복구할 수 있습니다.
답변1
RSA 개인 키에 암호화 해시 함수를 적용하는 것은 키에서 비밀번호를 생성하는 반복 가능한 방법입니다.
암호화 해시 함수의 특성으로 인해 해시에서 키를 복구할 수 없습니다.
이 접근 방식이 바람직한지 여부는 더 넓은 맥락에 따라 달라집니다.