agent/keyformat.txt

   1 keyformat.txt (wk 2001-12-18)
   2 -----------------------------
   3
   4
   5 Some notes on the format of the secret keys used with gpg-agent.
   6
   7 Location of keys
   8 ================
   9 The secret keys[1] are stored on a per file basis in a directory below
  10 the ~/.gnupg home directory.  This directory is named
  11
  12    private-keys-v1.d
  13
  14 and should have permissions 700.
  15
  16 The secret keys are stored in files with a name matching the
  17 hexadecimal representation of the keygrip[2].
  18
  19 Unprotected Private Key Format
  20 ==============================
  21 The content of the file is an S-Expression like the ones used with
  22 Libgcrypt.  Here is an example of an unprotected file:
  23
  24 (private-key
  25  (rsa
  26   (n #00e0ce9..[some bytes not shown]..51#)
  27   (e #010001#)
  28   (d #046129F..[some bytes not shown]..81#)
  29   (p #00e861b..[some bytes not shown]..f1#)
  30   (q #00f7a7c..[some bytes not shown]..61#)
  31   (u #304559a..[some bytes not shown]..9b#)
  32  )
  33  (created-at timestamp)
  34  (uri http://foo.bar x-foo:whatever_you_want)
  35  (comment whatever)
  36 )
  37
  38 "comment", "created-at" and "uri" are optional.  "comment" is
  39 currently used to keep track of ssh key comments. "created-at" is used
  40 to keep track of the creation time stamp used with OpenPGP keys; it is
  41 optional but required for some operations to calculate the fingerprint
  42 of the key.  This timestamp should be a string with the number of
  43 seconds since Epoch or an ISO time string (yyyymmddThhmmss).
  44
  45 Actually this form should not be used for regular purposes and only
  46 accepted by gpg-agent with the configuration option:
  47 --allow-non-canonical-key-format.  The regular way to represent the
  48 keys is in canonical representation[3]:
  49
  50 (private-key
  51    (rsa
  52     (n #00e0ce9..[some bytes not shown]..51#)
  53     (e #010001#)
  54     (d #046129F..[some bytes not shown]..81#)
  55     (p #00e861b..[some bytes not shown]..f1#)
  56     (q #00f7a7c..[some bytes not shown]..61#)
  57     (u #304559a..[some bytes not shown]..9b#)
  58    )
  59    (uri http://foo.bar x-foo:whatever_you_want)
  60 )
  61
  62
  63 Protected Private Key Format
  64 ==============================
  65 A protected key is like this:
  66
  67 (protected-private-key
  68    (rsa
  69     (n #00e0ce9..[some bytes not shown]..51#)
  70     (e #010001#)
  71     (protected mode (parms) encrypted_octet_string)
  72    )
  73    (uri http://foo.bar x-foo:whatever_you_want)
  74    (comment whatever)
  75 )
  76
  77
  78 In this scheme the encrypted_octet_string is encrypted according to
  79 the algorithm described after the keyword protected; most protection
  80 algorithms need some parameters, which are given in a list before the
  81 encrypted_octet_string.  The result of the decryption process is a
  82 list of the secret key parameters.
  83
  84 The only available protection mode for now is
  85
  86   openpgp-s2k3-sha1-aes-cbc
  87
  88 which describes an algorithm using using AES in CBC mode for
  89 encryption, SHA-1 for integrity protection and the String to Key
  90 algorithm 3 from OpenPGP (rfc2440).
  91
  92 Example:
  93
  94 (protected openpgp-s2k3-sha1-aes-cbc
  95   ((sha1 16byte_salt no_of_iterations) 16byte_iv)
  96   encrypted_octet_string
  97 )
  98
  99 The encrypted_octet string should yield this S-Exp (in canonical
 100 representation) after decryption:
 101
 102 (
 103  (
 104   (d #046129F..[some bytes not shown]..81#)
 105   (p #00e861b..[some bytes not shown]..f1#)
 106   (q #00f7a7c..[some bytes not shown]..61#)
 107   (u #304559a..[some bytes not shown]..9b#)
 108  )
 109  (hash sha1 #...[hashvalue]...#)
 110 )
 111
 112 For padding reasons, random bytes are appended to this list - they can
 113 easily be stripped by looking for the end of the list.
 114
 115 The hash is calculated on the concatenation of the public key and
 116 secret key parameter lists: i.e it is required to hash the
 117 concatenation of these 6 canonical encoded lists for RSA, including
 118 the parenthesis and the algorithm keyword.
 119
 120 (rsa
 121  (n #00e0ce9..[some bytes not shown]..51#)
 122  (e #010001#)
 123  (d #046129F..[some bytes not shown]..81#)
 124  (p #00e861b..[some bytes not shown]..f1#)
 125  (q #00f7a7c..[some bytes not shown]..61#)
 126  (u #304559a..[some bytes not shown]..9b#)
 127 )
 128
 129 After decryption the hash must be recalculated and compared against
 130 the stored one - If they don't match the integrity of the key is not
 131 given.
 132
 133
 134 Shadowed Private Key Format
 135 ============================
 136 To keep track of keys stored on IC cards we use a third format for
 137 private kyes which are called shadow keys as they are only a reference
 138 to keys stored on a token:
 139
 140 (shadowed-private-key
 141    (rsa
 142     (n #00e0ce9..[some bytes not shown]..51#)
 143     (e #010001#)
 144     (shadowed protocol (info))
 145    )
 146    (uri http://foo.bar x-foo:whatever_you_want)
 147    (comment whatever)
 148 )
 149
 150 The currently used protocol is "ti-v1" (token info version 1).  The
 151 second list with the information has this layout:
 152
 153 (card_serial_number id_string_of_key)
 154
 155 More items may be added to the list.
 156
 157
 158
 159
 160
 161
 162 Notes:
 163 ======
 164 [1] I usually use the terms private and secret key exchangeable but prefer the
 165 term secret key because it can be visually be better distinguished
 166 from the term public key.
 167
 168 [2] The keygrip is a unique identifier for a key pair, it is
 169 independent of any protocol, so that the same key can be used with
 170 different protocols.  PKCS-15 calls this a subjectKeyHash; it can be
 171 calculated using Libgcrypt's gcry_pk_get_keygrip ().
 172
 173 [3] Even when canonical representation are required we will show the
 174 S-expression here in a more readable representation.