Package de.dfncert.tools

Class Cryptography

java.lang.Object

de.dfncert.tools.Cryptography

public class Cryptography
extends Object

Diese Klasse stellt einige statische Methoden für häufig verwendete kryptografische Aufgaben bereit.

Author:

moennich

Method Summary

Modifier and Type	Method	Description
static String	createPKCS10(String subject, PublicKey publickey, PrivateKey privatekey)	Erstellt einen PKCS#10-Antrag.
static String	createPKCS10(String subject, PublicKey publickey, PrivateKey privatekey, String provider)	Erstellt einen neuen PKCS#10-Antrag und liefert diesen im PEM-Format.
static String	createPKCS7Encrypted(byte[] data, X509Certificate[] certs)	Erstellt einen PKCS#7-Container, der die Daten aus data mit allen öffentlichen Schlüsseln aus den Zertifikaten certs verschlüsselt.
static String	createPKCS7Signed(byte[] text, PrivateKey privatekey, X509Certificate certificate)	Erstellt ein PKCS#7 Container mit einer losglösten (detached) Signatur über text.
static String	createPKCS7SignedWithChain(byte[] text, PrivateKey privatekey, X509Certificate certificate, org.bouncycastle.cert.jcajce.JcaCertStore store)	Erstellt ein PKCS#7 Container mit einer losglösten (detached) Signatur über text.
static byte[]	decryptPKCS7(String base64, X509Certificate cert, PrivateKey key)	Entschlüsselung mit dem Standardprovider SunJCE.
static byte[]	decryptPKCS7(String base64, X509Certificate cert, PrivateKey key, String provider)	Entschlüsselt die in einen PKCS#7-Container eingebetteten verschlüsselten Daten.
static X509Certificate	getCertificateFromPEM(String pem)	Erstellt ein X509Certificate-Objekt aus einem PEM-Zertifikat.
static X509Certificate	getFirstCertificateWithKeyFormPKCS12(String filename, String password)	Liefert das erste Zertifikat aus einer PKCS#12-Datei, zu dem ein privater Schlüssel existiert.
static PrivateKey	getFirstKeyFormPKCS12(String filename, String password)	Liefert den ersten privaten Schlüssel, der in einer PKCS#12-Struktur gefunden wird.
static String	getPEMFromCertificate(X509Certificate cert)	Wandelt ein Zertifikatobjekt in das PEM-Format um.
static KeyPair	getPrivateKey(byte[] key)	Wandelt einen privaten Schlüssel in ein Java-Object um.
static String	getSignatureAlgorithm(Key key)	Gibt den passenden Signaturalgorithmus zurück, basierend auf dem PublicKey Algorithmus und bei EC und EdDSA auf den Kurven bzw. der Keysize.
static String	sha1(byte[] input)	Kalkuliert einen SHA1 Hash-Wert für input.
static String	sha1(byte[] input, String bytesSeparator, boolean upperCase)	Kalkuliert einen SHA1 Hash-Wert für input und liefert diesen in angegebener Formatiertung.

Methods inherited from class java.lang.Object

clone, equals, finalize, getClass, hashCode, notify, notifyAll, toString, wait, wait, wait

Method Details

createPKCS10

public static String createPKCS10(String subject,
 PublicKey publickey,
 PrivateKey privatekey)
                           throws NoSuchAlgorithmException,
NoSuchProviderException,
InvalidKeyException,
SignatureException,
IOException,
org.bouncycastle.operator.OperatorCreationException

Erstellt einen PKCS#10-Antrag. Der Provider für die Selbstsignatur des Antrags ist hier "SunRsaSign".

Parameters:

subject - Subject DN

publickey - Öffentlicher Schlüssel

privatekey - Privater Schlüssel

Returns:

PKCS#10-Antrag im PEM-Format

Throws:

NoSuchAlgorithmException - Fehlerweiterleitung

NoSuchProviderException - Fehlerweiterleitung

InvalidKeyException - Fehlerweiterleitung

IOException - Fehlerweiterleitung

SignatureException - Fehlerweiterleitung

org.bouncycastle.operator.OperatorCreationException - Fehlerweiterleitung

See Also:

• createPKCS10(java.lang.String, java.security.PublicKey, java.security.PrivateKey, java.lang.String)

createPKCS10

public static String createPKCS10(String subject,
 PublicKey publickey,
 PrivateKey privatekey,
 String provider)
                           throws org.bouncycastle.operator.OperatorCreationException,
IOException

Erstellt einen neuen PKCS#10-Antrag und liefert diesen im PEM-Format. Benötigt werden dazu ein öffentlicher und ein privater Schlüssel, sowie der Subject DN als String. Erweiterte Attribute in dem Antrag (z.B. Alias-Namen) werden momentan nicht unterstützt. Diese können aber über die Methode DFNCERTPublic als Parameter übergeben werden. Die Selbstsignatur des Antrags wird bei einem RSA-Schlüssel mit SHA256withRSA erstellt. Wenn SHA256withRSA nicht vom Provider unterstützt wird, wird SHA1withRSA verwendet. Bei einem EC-Schlüssel mit secp256r1 Kurve wird SHA256withECDSA, bei secp384r1 Kurve SHA384withECDSA und bei secp521r1 Kurve wird SHA512withECDSA verwendet. Bei einem EdEc-Schlüssel wird entweder Ed25519 oder Ed448 verwendet.

Parameters:

subject - Subject DN

publickey - Öffentlicher Schlüssel

privatekey - Privater Schlüssel

provider - Provider für PKCS#10-Signatur, null für Standard

Returns:

PKCS10-Antrag im PEM Format

Throws:

IOException - Fehlerweiterleitung

org.bouncycastle.operator.OperatorCreationException - Fehlerweiterleitung

sha1

public static String sha1(byte[] input)
                   throws NoSuchAlgorithmException

Kalkuliert einen SHA1 Hash-Wert für input. Liefert den Wert als hexadezimalen String in Kleinbuchstaben.

Parameters:

input - Eingabedaten

Returns:

SHA1 Hash-Eert als hexadezimaler String, Kleinbuchstaben

Throws:

NoSuchAlgorithmException - Fehlerweiterleitung

sha1

public static String sha1(byte[] input,
 String bytesSeparator,
 boolean upperCase)
                   throws NoSuchAlgorithmException

Kalkuliert einen SHA1 Hash-Wert für input und liefert diesen in angegebener Formatiertung.

Parameters:

input - Eingabedaten

bytesSeparator - Delimiter zwischen einzelnen Bytes (z.B. ":")

upperCase - Großbuchstaben?

Returns:

Hashwert als Hex-ASCII

Throws:

NoSuchAlgorithmException - Fehlerweiterleitung

createPKCS7Signed

public static String createPKCS7Signed(byte[] text,
 PrivateKey privatekey,
 X509Certificate certificate)
                                throws NoSuchAlgorithmException,
CertStoreException,
org.bouncycastle.cms.CMSException,
NoSuchProviderException,
InvalidAlgorithmParameterException,
IOException,
org.bouncycastle.operator.OperatorCreationException,
CertificateEncodingException

Erstellt ein PKCS#7 Container mit einer losglösten (detached) Signatur über text. Dabei wird der angegebene private Schlüssel privatekey verwendet und das zugehörige Zertifikat certificate als Unterzeichner-Zertifikat mit in die PKCS#7-Struktur eingebunden. Das Ergebnis wird im PEM-Format geliefert.

Parameters:

text - Zu signierende Daten

privatekey - Unterschrift Privater Schlüssel

certificate - Unterschrift Zertifikat

Returns:

Signatur im PEM-Format

Throws:

NoSuchAlgorithmException - Fehlerweiterleitung

CertStoreException - Fehlerweiterleitung

org.bouncycastle.cms.CMSException - Fehlerweiterleitung

NoSuchProviderException - Fehlerweiterleitung

InvalidAlgorithmParameterException - Fehlerweiterleitung

IOException - Fehlerweiterleitung

org.bouncycastle.operator.OperatorCreationException - Fehlerweiterleitung

CertificateEncodingException - Fehlerweiterleitung

createPKCS7SignedWithChain

public static String createPKCS7SignedWithChain(byte[] text,
 PrivateKey privatekey,
 X509Certificate certificate,
 org.bouncycastle.cert.jcajce.JcaCertStore store)
                                         throws NoSuchAlgorithmException,
CertStoreException,
org.bouncycastle.cms.CMSException,
NoSuchProviderException,
InvalidAlgorithmParameterException,
IOException,
org.bouncycastle.operator.OperatorCreationException,
CertificateEncodingException

Erstellt ein PKCS#7 Container mit einer losglösten (detached) Signatur über text. Dabei wird der angegebene private Schlüssel privatekey verwendet und das zugehörige Zertifikat certificate als Unterzeichner-Zertifikat mit in die PKCS#7-Struktur eingebunden. Das Ergebnis wird im PEM-Format geliefert.

Parameters:

text - Zu signierende Daten

privatekey - Unterschrift Privater Schlüssel

store - Zertifiakts-Store mit Unterschrift Zertifikat und ggf. Zertifikatskette

Returns:

Signatur im PEM-Format

Throws:

NoSuchAlgorithmException - Fehlerweiterleitung

CertStoreException - Fehlerweiterleitung

org.bouncycastle.cms.CMSException - Fehlerweiterleitung

NoSuchProviderException - Fehlerweiterleitung

InvalidAlgorithmParameterException - Fehlerweiterleitung

IOException - Fehlerweiterleitung

org.bouncycastle.operator.OperatorCreationException - Fehlerweiterleitung

CertificateEncodingException - Fehlerweiterleitung

createPKCS7Encrypted

public static String createPKCS7Encrypted(byte[] data,
 X509Certificate[] certs)
                                   throws NoSuchAlgorithmException,
NoSuchProviderException,
org.bouncycastle.cms.CMSException,
IOException,
CertificateEncodingException

Erstellt einen PKCS#7-Container, der die Daten aus data mit allen öffentlichen Schlüsseln aus den Zertifikaten certs verschlüsselt.

Parameters:

data - Zu verschlüsselnde Daten

certs - Empfänger-Zertifikate

Returns:

PKCS#7 im PEM-Format

Throws:

NoSuchAlgorithmException - Fehlerweiterleitung

NoSuchProviderException - Fehlerweiterleitung

org.bouncycastle.cms.CMSException - Fehlerweiterleitung

IOException - Fehlerweiterleitung

CertificateEncodingException - Fehlerweiterleitung

decryptPKCS7

public static byte[] decryptPKCS7(String base64,
 X509Certificate cert,
 PrivateKey key)
                           throws org.bouncycastle.cms.CMSException,
Exception

Entschlüsselung mit dem Standardprovider SunJCE.

Parameters:

base64 - PKCS#7-Struktur im PEM-Format

cert - Entschlüsselungszertifikat

key - Entschlüsselungsschlüssel

Returns:

Entschlüsselte Daten

Throws:

org.bouncycastle.cms.CMSException - Fehlerweiterleitung

Exception

See Also:

• decryptPKCS7(java.lang.String, java.security.cert.X509Certificate, java.security.PrivateKey, java.lang.String)

decryptPKCS7

public static byte[] decryptPKCS7(String base64,
 X509Certificate cert,
 PrivateKey key,
 String provider)
                           throws org.bouncycastle.cms.CMSException,
Exception

Entschlüsselt die in einen PKCS#7-Container eingebetteten verschlüsselten Daten. Der richtige Schlüssel wird dabei anhand der Seriennummer und des Ausstellers des Entschlüsselungszertifikats ermittelt.

Parameters:

base64 - PKCS#7 in DER-Format

cert - Zertifikat des Entschlüsselers

key - PrivateKey des Entschlüsselers

provider - Zu verwendender Kryptoprovider, z.B. "SunJCE"

Returns:

entschlüsselte Daten

Throws:

org.bouncycastle.cms.CMSException - Fehlerweiterleitung

Exception

getCertificateFromPEM

public static X509Certificate getCertificateFromPEM(String pem)
                                             throws CertificateException,
IOException

Erstellt ein X509Certificate-Objekt aus einem PEM-Zertifikat. Die Eingabe muss im PEM-Format mit Header (BEGIN CERTIFICATE) und Footer (END CERTIFICATE) erfolgen.

Parameters:

pem - Zertifikat im PEM-Format

Returns:

Zertifikatobjekt

Throws:

CertificateException - Fehlerweiterleitung

IOException - Fehlerweiterleitung

getPEMFromCertificate

public static String getPEMFromCertificate(X509Certificate cert)
                                    throws IOException

Wandelt ein Zertifikatobjekt in das PEM-Format um.

Parameters:

cert - Eingabezertifikat

Returns:

Ausgabe im PEM-Format

Throws:

IOException - Fehlerweiterleitung

getPrivateKey

public static KeyPair getPrivateKey(byte[] key)
                             throws IOException

Wandelt einen privaten Schlüssel in ein Java-Object um.

Parameters:

key - Eingabe als Byte-Array

Returns:

Schlüsselobject

Throws:

IOException - Fehlerweiterleitung

getFirstKeyFormPKCS12

public static PrivateKey getFirstKeyFormPKCS12(String filename,
 String password)
                                        throws KeyStoreException,
FileNotFoundException,
IOException,
NoSuchAlgorithmException,
CertificateException,
UnrecoverableKeyException

Liefert den ersten privaten Schlüssel, der in einer PKCS#12-Struktur gefunden wird. Dazu werden die Alias-Namen in der Reihenfolge ihres Auftretens durchlaufen und der erste Eintrag, der einen Schlüssel enthält zurückgeliefert. Falls kein privater Schlüssel gefunden wurde, wird null zurückgegeben.

Parameters:

filename - Dateiname der PKCS#12-Datei

password - Passwort der PKCS#12-Datei

Returns:

Erster gefundener privater Schlüssel

Throws:

KeyStoreException - Fehlerweiterleitung

CertificateException - Fehlerweiterleitung

FileNotFoundException - Fehlerweiterleitung

UnrecoverableKeyException - Fehlerweiterleitung

NoSuchAlgorithmException - Fehlerweiterleitung

IOException

getFirstCertificateWithKeyFormPKCS12

public static X509Certificate getFirstCertificateWithKeyFormPKCS12(String filename,
 String password)
                                                            throws KeyStoreException,
FileNotFoundException,
IOException,
NoSuchAlgorithmException,
CertificateException

Liefert das erste Zertifikat aus einer PKCS#12-Datei, zu dem ein privater Schlüssel existiert. Dazu werden alle Alias-Namen durchlaufen und das erste Zertifikat, zu dem ein Schlüssel gehört, zurückgegeben.

Parameters:

filename - Dateiname der PKCS#12-Datei

password - Passwort der PKCS#12-Datei

Returns:

Erstes Zertifikat zu dem ein privater Schlüssel existiert

Throws:

KeyStoreException - Fehlerweiterleitung

FileNotFoundException - Fehlerweiterleitung

IOException - Fehlerweiterleitung

NoSuchAlgorithmException - Fehlerweiterleitung

CertificateException - Fehlerweiterleitung

getSignatureAlgorithm

public static String getSignatureAlgorithm(Key key)

Gibt den passenden Signaturalgorithmus zurück, basierend auf dem PublicKey Algorithmus und bei EC und EdDSA auf den Kurven bzw. der Keysize. Z.b. wäre es bei secp256r1 SHA256withECDSA

Parameters:

key -

Returns:

passender Signaturalgorithmus als String