etc/services - sync with NetBSD-8
[minix.git] / crypto / external / bsd / openssl / lib / libcrypto / man / openssl_enc.1
blob5594d3a140ef1486885e3703fd3c759f1ca09963
1 .\"     $NetBSD: openssl_enc.1,v 1.14 2015/06/12 17:01:15 christos Exp $
2 .\"
3 .\" Automatically generated by Pod::Man 2.28 (Pod::Simple 3.28)
4 .\"
5 .\" Standard preamble:
6 .\" ========================================================================
7 .de Sp \" Vertical space (when we can't use .PP)
8 .if t .sp .5v
9 .if n .sp
11 .de Vb \" Begin verbatim text
12 .ft CW
13 .nf
14 .ne \\$1
16 .de Ve \" End verbatim text
17 .ft R
18 .fi
20 .\" Set up some character translations and predefined strings.  \*(-- will
21 .\" give an unbreakable dash, \*(PI will give pi, \*(L" will give a left
22 .\" double quote, and \*(R" will give a right double quote.  \*(C+ will
23 .\" give a nicer C++.  Capital omega is used to do unbreakable dashes and
24 .\" therefore won't be available.  \*(C` and \*(C' expand to `' in nroff,
25 .\" nothing in troff, for use with C<>.
26 .tr \(*W-
27 .ds C+ C\v'-.1v'\h'-1p'\s-2+\h'-1p'+\s0\v'.1v'\h'-1p'
28 .ie n \{\
29 .    ds -- \(*W-
30 .    ds PI pi
31 .    if (\n(.H=4u)&(1m=24u) .ds -- \(*W\h'-12u'\(*W\h'-12u'-\" diablo 10 pitch
32 .    if (\n(.H=4u)&(1m=20u) .ds -- \(*W\h'-12u'\(*W\h'-8u'-\"  diablo 12 pitch
33 .    ds L" ""
34 .    ds R" ""
35 .    ds C` ""
36 .    ds C' ""
37 'br\}
38 .el\{\
39 .    ds -- \|\(em\|
40 .    ds PI \(*p
41 .    ds L" ``
42 .    ds R" ''
43 .    ds C`
44 .    ds C'
45 'br\}
46 .\"
47 .\" Escape single quotes in literal strings from groff's Unicode transform.
48 .ie \n(.g .ds Aq \(aq
49 .el       .ds Aq '
50 .\"
51 .\" If the F register is turned on, we'll generate index entries on stderr for
52 .\" titles (.TH), headers (.SH), subsections (.SS), items (.Ip), and index
53 .\" entries marked with X<> in POD.  Of course, you'll have to process the
54 .\" output yourself in some meaningful fashion.
55 .\"
56 .\" Avoid warning from groff about undefined register 'F'.
57 .de IX
59 .nr rF 0
60 .if \n(.g .if rF .nr rF 1
61 .if (\n(rF:(\n(.g==0)) \{
62 .    if \nF \{
63 .        de IX
64 .        tm Index:\\$1\t\\n%\t"\\$2"
66 .        if !\nF==2 \{
67 .            nr % 0
68 .            nr F 2
69 .        \}
70 .    \}
71 .\}
72 .rr rF
73 .\"
74 .\" Accent mark definitions (@(#)ms.acc 1.5 88/02/08 SMI; from UCB 4.2).
75 .\" Fear.  Run.  Save yourself.  No user-serviceable parts.
76 .    \" fudge factors for nroff and troff
77 .if n \{\
78 .    ds #H 0
79 .    ds #V .8m
80 .    ds #F .3m
81 .    ds #[ \f1
82 .    ds #] \fP
83 .\}
84 .if t \{\
85 .    ds #H ((1u-(\\\\n(.fu%2u))*.13m)
86 .    ds #V .6m
87 .    ds #F 0
88 .    ds #[ \&
89 .    ds #] \&
90 .\}
91 .    \" simple accents for nroff and troff
92 .if n \{\
93 .    ds ' \&
94 .    ds ` \&
95 .    ds ^ \&
96 .    ds , \&
97 .    ds ~ ~
98 .    ds /
99 .\}
100 .if t \{\
101 .    ds ' \\k:\h'-(\\n(.wu*8/10-\*(#H)'\'\h"|\\n:u"
102 .    ds ` \\k:\h'-(\\n(.wu*8/10-\*(#H)'\`\h'|\\n:u'
103 .    ds ^ \\k:\h'-(\\n(.wu*10/11-\*(#H)'^\h'|\\n:u'
104 .    ds , \\k:\h'-(\\n(.wu*8/10)',\h'|\\n:u'
105 .    ds ~ \\k:\h'-(\\n(.wu-\*(#H-.1m)'~\h'|\\n:u'
106 .    ds / \\k:\h'-(\\n(.wu*8/10-\*(#H)'\z\(sl\h'|\\n:u'
108 .    \" troff and (daisy-wheel) nroff accents
109 .ds : \\k:\h'-(\\n(.wu*8/10-\*(#H+.1m+\*(#F)'\v'-\*(#V'\z.\h'.2m+\*(#F'.\h'|\\n:u'\v'\*(#V'
110 .ds 8 \h'\*(#H'\(*b\h'-\*(#H'
111 .ds o \\k:\h'-(\\n(.wu+\w'\(de'u-\*(#H)/2u'\v'-.3n'\*(#[\z\(de\v'.3n'\h'|\\n:u'\*(#]
112 .ds d- \h'\*(#H'\(pd\h'-\w'~'u'\v'-.25m'\f2\(hy\fP\v'.25m'\h'-\*(#H'
113 .ds D- D\\k:\h'-\w'D'u'\v'-.11m'\z\(hy\v'.11m'\h'|\\n:u'
114 .ds th \*(#[\v'.3m'\s+1I\s-1\v'-.3m'\h'-(\w'I'u*2/3)'\s-1o\s+1\*(#]
115 .ds Th \*(#[\s+2I\s-2\h'-\w'I'u*3/5'\v'-.3m'o\v'.3m'\*(#]
116 .ds ae a\h'-(\w'a'u*4/10)'e
117 .ds Ae A\h'-(\w'A'u*4/10)'E
118 .    \" corrections for vroff
119 .if v .ds ~ \\k:\h'-(\\n(.wu*9/10-\*(#H)'\s-2\u~\d\s+2\h'|\\n:u'
120 .if v .ds ^ \\k:\h'-(\\n(.wu*10/11-\*(#H)'\v'-.4m'^\v'.4m'\h'|\\n:u'
121 .    \" for low resolution devices (crt and lpr)
122 .if \n(.H>23 .if \n(.V>19 \
124 .    ds : e
125 .    ds 8 ss
126 .    ds o a
127 .    ds d- d\h'-1'\(ga
128 .    ds D- D\h'-1'\(hy
129 .    ds th \o'bp'
130 .    ds Th \o'LP'
131 .    ds ae ae
132 .    ds Ae AE
134 .rm #[ #] #H #V #F C
135 .\" ========================================================================
137 .IX Title "ENC 1"
138 .TH ENC 1 "2014-06-05" "1.0.1n" "OpenSSL"
139 .\" For nroff, turn off justification.  Always turn off hyphenation; it makes
140 .\" way too many mistakes in technical documents.
141 .if n .ad l
143 .SH "NAME"
144 enc \- symmetric cipher routines
145 .SH "LIBRARY"
146 libcrypto, -lcrypto
147 .SH "SYNOPSIS"
148 .IX Header "SYNOPSIS"
149 \&\fBopenssl enc \-ciphername\fR
150 [\fB\-in filename\fR]
151 [\fB\-out filename\fR]
152 [\fB\-pass arg\fR]
153 [\fB\-e\fR]
154 [\fB\-d\fR]
155 [\fB\-a/\-base64\fR]
156 [\fB\-A\fR]
157 [\fB\-k password\fR]
158 [\fB\-kfile filename\fR]
159 [\fB\-K key\fR]
160 [\fB\-iv \s-1IV\s0\fR]
161 [\fB\-S salt\fR]
162 [\fB\-salt\fR]
163 [\fB\-nosalt\fR]
164 [\fB\-z\fR]
165 [\fB\-md\fR]
166 [\fB\-p\fR]
167 [\fB\-P\fR]
168 [\fB\-bufsize number\fR]
169 [\fB\-nopad\fR]
170 [\fB\-debug\fR]
171 [\fB\-none\fR]
172 [\fB\-engine id\fR]
173 .SH "DESCRIPTION"
174 .IX Header "DESCRIPTION"
175 The symmetric cipher commands allow data to be encrypted or decrypted
176 using various block and stream ciphers using keys based on passwords
177 or explicitly provided. Base64 encoding or decoding can also be performed
178 either by itself or in addition to the encryption or decryption.
179 .SH "OPTIONS"
180 .IX Header "OPTIONS"
181 .IP "\fB\-in filename\fR" 4
182 .IX Item "-in filename"
183 the input filename, standard input by default.
184 .IP "\fB\-out filename\fR" 4
185 .IX Item "-out filename"
186 the output filename, standard output by default.
187 .IP "\fB\-pass arg\fR" 4
188 .IX Item "-pass arg"
189 the password source. For more information about the format of \fBarg\fR
190 see the \fB\s-1PASS PHRASE ARGUMENTS\s0\fR section in \fIopenssl\fR\|(1).
191 .IP "\fB\-salt\fR" 4
192 .IX Item "-salt"
193 use a salt in the key derivation routines. This is the default.
194 .IP "\fB\-nosalt\fR" 4
195 .IX Item "-nosalt"
196 don't use a salt in the key derivation routines. This option \fB\s-1SHOULD NOT\s0\fR be
197 used except for test purposes or compatibility with ancient versions of OpenSSL
198 and SSLeay.
199 .IP "\fB\-e\fR" 4
200 .IX Item "-e"
201 encrypt the input data: this is the default.
202 .IP "\fB\-d\fR" 4
203 .IX Item "-d"
204 decrypt the input data.
205 .IP "\fB\-a\fR" 4
206 .IX Item "-a"
207 base64 process the data. This means that if encryption is taking place
208 the data is base64 encoded after encryption. If decryption is set then
209 the input data is base64 decoded before being decrypted.
210 .IP "\fB\-base64\fR" 4
211 .IX Item "-base64"
212 same as \fB\-a\fR
213 .IP "\fB\-A\fR" 4
214 .IX Item "-A"
215 if the \fB\-a\fR option is set then base64 process the data on one line.
216 .IP "\fB\-k password\fR" 4
217 .IX Item "-k password"
218 the password to derive the key from. This is for compatibility with previous
219 versions of OpenSSL. Superseded by the \fB\-pass\fR argument.
220 .IP "\fB\-kfile filename\fR" 4
221 .IX Item "-kfile filename"
222 read the password to derive the key from the first line of \fBfilename\fR.
223 This is for compatibility with previous versions of OpenSSL. Superseded by
224 the \fB\-pass\fR argument.
225 .IP "\fB\-nosalt\fR" 4
226 .IX Item "-nosalt"
227 do not use a salt
228 .IP "\fB\-salt\fR" 4
229 .IX Item "-salt"
230 use salt (randomly generated or provide with \fB\-S\fR option) when
231 encrypting (this is the default).
232 .IP "\fB\-S salt\fR" 4
233 .IX Item "-S salt"
234 the actual salt to use: this must be represented as a string of hex digits.
235 .IP "\fB\-K key\fR" 4
236 .IX Item "-K key"
237 the actual key to use: this must be represented as a string comprised only
238 of hex digits. If only the key is specified, the \s-1IV\s0 must additionally specified
239 using the \fB\-iv\fR option. When both a key and a password are specified, the
240 key given with the \fB\-K\fR option will be used and the \s-1IV\s0 generated from the
241 password will be taken. It probably does not make much sense to specify
242 both key and password.
243 .IP "\fB\-iv \s-1IV\s0\fR" 4
244 .IX Item "-iv IV"
245 the actual \s-1IV\s0 to use: this must be represented as a string comprised only
246 of hex digits. When only the key is specified using the \fB\-K\fR option, the
247 \&\s-1IV\s0 must explicitly be defined. When a password is being specified using
248 one of the other options, the \s-1IV\s0 is generated from this password.
249 .IP "\fB\-p\fR" 4
250 .IX Item "-p"
251 print out the key and \s-1IV\s0 used.
252 .IP "\fB\-P\fR" 4
253 .IX Item "-P"
254 print out the key and \s-1IV\s0 used then immediately exit: don't do any encryption
255 or decryption.
256 .IP "\fB\-bufsize number\fR" 4
257 .IX Item "-bufsize number"
258 set the buffer size for I/O
259 .IP "\fB\-nopad\fR" 4
260 .IX Item "-nopad"
261 disable standard block padding
262 .IP "\fB\-debug\fR" 4
263 .IX Item "-debug"
264 debug the BIOs used for I/O.
265 .IP "\fB\-z\fR" 4
266 .IX Item "-z"
267 Compress or decompress clear text using zlib before encryption or after
268 decryption. This option exists only if OpenSSL with compiled with zlib
269 or zlib-dynamic option.
270 .IP "\fB\-none\fR" 4
271 .IX Item "-none"
272 Use \s-1NULL\s0 cipher (no encryption or decryption of input).
273 .SH "NOTES"
274 .IX Header "NOTES"
275 The program can be called either as \fBopenssl ciphername\fR or
276 \&\fBopenssl enc \-ciphername\fR. But the first form doesn't work with
277 engine-provided ciphers, because this form is processed before the
278 configuration file is read and any ENGINEs loaded.
280 Engines which provide entirely new encryption algorithms (such as ccgost
281 engine which provides gost89 algorithm) should be configured in the
282 configuration file. Engines, specified in the command line using \-engine
283 options can only be used for hadrware-assisted implementations of
284 ciphers, which are supported by OpenSSL core or other engine, specified
285 in the configuration file.
287 When enc command lists supported ciphers, ciphers provided by engines,
288 specified in the configuration files are listed too.
290 A password will be prompted for to derive the key and \s-1IV\s0 if necessary.
292 The \fB\-salt\fR option should \fB\s-1ALWAYS\s0\fR be used if the key is being derived
293 from a password unless you want compatibility with previous versions of
294 OpenSSL and SSLeay.
296 Without the \fB\-salt\fR option it is possible to perform efficient dictionary
297 attacks on the password and to attack stream cipher encrypted data. The reason
298 for this is that without the salt the same password always generates the same
299 encryption key. When the salt is being used the first eight bytes of the
300 encrypted data are reserved for the salt: it is generated at random when
301 encrypting a file and read from the encrypted file when it is decrypted.
303 Some of the ciphers do not have large keys and others have security
304 implications if not used correctly. A beginner is advised to just use
305 a strong block cipher in \s-1CBC\s0 mode such as bf or des3.
307 All the block ciphers normally use PKCS#5 padding also known as standard block
308 padding: this allows a rudimentary integrity or password check to be
309 performed. However since the chance of random data passing the test is
310 better than 1 in 256 it isn't a very good test.
312 If padding is disabled then the input data must be a multiple of the cipher
313 block length.
315 All \s-1RC2\s0 ciphers have the same key and effective key length.
317 Blowfish and \s-1RC5\s0 algorithms use a 128 bit key.
318 .SH "SUPPORTED CIPHERS"
319 .IX Header "SUPPORTED CIPHERS"
320 Note that some of these ciphers can be disabled at compile time
321 and some are available only if an appropriate engine is configured
322 in the configuration file. The output of the \fBenc\fR command run with
323 unsupported options (for example \fBopenssl enc \-help\fR) includes a
324 list of ciphers, supported by your versesion of OpenSSL, including
325 ones provided by configured engines.
327 The \fBenc\fR program does not support authenticated encryption modes
328 like \s-1CCM\s0 and \s-1GCM.\s0 The utility does not store or retrieve the
329 authentication tag.
331 .Vb 1
332 \& base64             Base 64
334 \& bf\-cbc             Blowfish in CBC mode
335 \& bf                 Alias for bf\-cbc
336 \& bf\-cfb             Blowfish in CFB mode
337 \& bf\-ecb             Blowfish in ECB mode
338 \& bf\-ofb             Blowfish in OFB mode
340 \& cast\-cbc           CAST in CBC mode
341 \& cast               Alias for cast\-cbc
342 \& cast5\-cbc          CAST5 in CBC mode
343 \& cast5\-cfb          CAST5 in CFB mode
344 \& cast5\-ecb          CAST5 in ECB mode
345 \& cast5\-ofb          CAST5 in OFB mode
347 \& des\-cbc            DES in CBC mode
348 \& des                Alias for des\-cbc
349 \& des\-cfb            DES in CBC mode
350 \& des\-ofb            DES in OFB mode
351 \& des\-ecb            DES in ECB mode
353 \& des\-ede\-cbc        Two key triple DES EDE in CBC mode
354 \& des\-ede            Two key triple DES EDE in ECB mode
355 \& des\-ede\-cfb        Two key triple DES EDE in CFB mode
356 \& des\-ede\-ofb        Two key triple DES EDE in OFB mode
358 \& des\-ede3\-cbc       Three key triple DES EDE in CBC mode
359 \& des\-ede3           Three key triple DES EDE in ECB mode
360 \& des3               Alias for des\-ede3\-cbc
361 \& des\-ede3\-cfb       Three key triple DES EDE CFB mode
362 \& des\-ede3\-ofb       Three key triple DES EDE in OFB mode
364 \& desx               DESX algorithm.
366 \& gost89             GOST 28147\-89 in CFB mode (provided by ccgost engine)
367 \& gost89\-cnt        \`GOST 28147\-89 in CNT mode (provided by ccgost engine)
369 \& idea\-cbc           IDEA algorithm in CBC mode
370 \& idea               same as idea\-cbc
371 \& idea\-cfb           IDEA in CFB mode
372 \& idea\-ecb           IDEA in ECB mode
373 \& idea\-ofb           IDEA in OFB mode
375 \& rc2\-cbc            128 bit RC2 in CBC mode
376 \& rc2                Alias for rc2\-cbc
377 \& rc2\-cfb            128 bit RC2 in CFB mode
378 \& rc2\-ecb            128 bit RC2 in ECB mode
379 \& rc2\-ofb            128 bit RC2 in OFB mode
380 \& rc2\-64\-cbc         64 bit RC2 in CBC mode
381 \& rc2\-40\-cbc         40 bit RC2 in CBC mode
383 \& rc4                128 bit RC4
384 \& rc4\-64             64 bit RC4
385 \& rc4\-40             40 bit RC4
387 \& rc5\-cbc            RC5 cipher in CBC mode
388 \& rc5                Alias for rc5\-cbc
389 \& rc5\-cfb            RC5 cipher in CFB mode
390 \& rc5\-ecb            RC5 cipher in ECB mode
391 \& rc5\-ofb            RC5 cipher in OFB mode
393 \& aes\-[128|192|256]\-cbc  128/192/256 bit AES in CBC mode
394 \& aes\-[128|192|256]      Alias for aes\-[128|192|256]\-cbc
395 \& aes\-[128|192|256]\-cfb  128/192/256 bit AES in 128 bit CFB mode
396 \& aes\-[128|192|256]\-cfb1 128/192/256 bit AES in 1 bit CFB mode
397 \& aes\-[128|192|256]\-cfb8 128/192/256 bit AES in 8 bit CFB mode
398 \& aes\-[128|192|256]\-ecb  128/192/256 bit AES in ECB mode
399 \& aes\-[128|192|256]\-ofb  128/192/256 bit AES in OFB mode
401 .SH "EXAMPLES"
402 .IX Header "EXAMPLES"
403 Just base64 encode a binary file:
405 .Vb 1
406 \& openssl base64 \-in file.bin \-out file.b64
409 Decode the same file
411 .Vb 1
412 \& openssl base64 \-d \-in file.b64 \-out file.bin
415 Encrypt a file using triple \s-1DES\s0 in \s-1CBC\s0 mode using a prompted password:
417 .Vb 1
418 \& openssl des3 \-salt \-in file.txt \-out file.des3
421 Decrypt a file using a supplied password:
423 .Vb 1
424 \& openssl des3 \-d \-salt \-in file.des3 \-out file.txt \-k mypassword
427 Encrypt a file then base64 encode it (so it can be sent via mail for example)
428 using Blowfish in \s-1CBC\s0 mode:
430 .Vb 1
431 \& openssl bf \-a \-salt \-in file.txt \-out file.bf
434 Base64 decode a file then decrypt it:
436 .Vb 1
437 \& openssl bf \-d \-salt \-a \-in file.bf \-out file.txt
440 Decrypt some data using a supplied 40 bit \s-1RC4\s0 key:
442 .Vb 1
443 \& openssl rc4\-40 \-in file.rc4 \-out file.txt \-K 0102030405
445 .SH "BUGS"
446 .IX Header "BUGS"
447 The \fB\-A\fR option when used with large files doesn't work properly.
449 There should be an option to allow an iteration count to be included.
451 The \fBenc\fR program only supports a fixed number of algorithms with
452 certain parameters. So if, for example, you want to use \s-1RC2\s0 with a
453 76 bit key or \s-1RC4\s0 with an 84 bit key you can't use this program.