etc/services - sync with NetBSD-8
[minix.git] / crypto / external / bsd / openssl / lib / libcrypto / man / openssl_rsautl.1
blob0302e3621c598995f020b37946e0acbe77b04916
1 .\"     $NetBSD: openssl_rsautl.1,v 1.14 2015/06/12 17:01:15 christos Exp $
2 .\"
3 .\" Automatically generated by Pod::Man 2.28 (Pod::Simple 3.28)
4 .\"
5 .\" Standard preamble:
6 .\" ========================================================================
7 .de Sp \" Vertical space (when we can't use .PP)
8 .if t .sp .5v
9 .if n .sp
11 .de Vb \" Begin verbatim text
12 .ft CW
13 .nf
14 .ne \\$1
16 .de Ve \" End verbatim text
17 .ft R
18 .fi
20 .\" Set up some character translations and predefined strings.  \*(-- will
21 .\" give an unbreakable dash, \*(PI will give pi, \*(L" will give a left
22 .\" double quote, and \*(R" will give a right double quote.  \*(C+ will
23 .\" give a nicer C++.  Capital omega is used to do unbreakable dashes and
24 .\" therefore won't be available.  \*(C` and \*(C' expand to `' in nroff,
25 .\" nothing in troff, for use with C<>.
26 .tr \(*W-
27 .ds C+ C\v'-.1v'\h'-1p'\s-2+\h'-1p'+\s0\v'.1v'\h'-1p'
28 .ie n \{\
29 .    ds -- \(*W-
30 .    ds PI pi
31 .    if (\n(.H=4u)&(1m=24u) .ds -- \(*W\h'-12u'\(*W\h'-12u'-\" diablo 10 pitch
32 .    if (\n(.H=4u)&(1m=20u) .ds -- \(*W\h'-12u'\(*W\h'-8u'-\"  diablo 12 pitch
33 .    ds L" ""
34 .    ds R" ""
35 .    ds C` ""
36 .    ds C' ""
37 'br\}
38 .el\{\
39 .    ds -- \|\(em\|
40 .    ds PI \(*p
41 .    ds L" ``
42 .    ds R" ''
43 .    ds C`
44 .    ds C'
45 'br\}
46 .\"
47 .\" Escape single quotes in literal strings from groff's Unicode transform.
48 .ie \n(.g .ds Aq \(aq
49 .el       .ds Aq '
50 .\"
51 .\" If the F register is turned on, we'll generate index entries on stderr for
52 .\" titles (.TH), headers (.SH), subsections (.SS), items (.Ip), and index
53 .\" entries marked with X<> in POD.  Of course, you'll have to process the
54 .\" output yourself in some meaningful fashion.
55 .\"
56 .\" Avoid warning from groff about undefined register 'F'.
57 .de IX
59 .nr rF 0
60 .if \n(.g .if rF .nr rF 1
61 .if (\n(rF:(\n(.g==0)) \{
62 .    if \nF \{
63 .        de IX
64 .        tm Index:\\$1\t\\n%\t"\\$2"
66 .        if !\nF==2 \{
67 .            nr % 0
68 .            nr F 2
69 .        \}
70 .    \}
71 .\}
72 .rr rF
73 .\"
74 .\" Accent mark definitions (@(#)ms.acc 1.5 88/02/08 SMI; from UCB 4.2).
75 .\" Fear.  Run.  Save yourself.  No user-serviceable parts.
76 .    \" fudge factors for nroff and troff
77 .if n \{\
78 .    ds #H 0
79 .    ds #V .8m
80 .    ds #F .3m
81 .    ds #[ \f1
82 .    ds #] \fP
83 .\}
84 .if t \{\
85 .    ds #H ((1u-(\\\\n(.fu%2u))*.13m)
86 .    ds #V .6m
87 .    ds #F 0
88 .    ds #[ \&
89 .    ds #] \&
90 .\}
91 .    \" simple accents for nroff and troff
92 .if n \{\
93 .    ds ' \&
94 .    ds ` \&
95 .    ds ^ \&
96 .    ds , \&
97 .    ds ~ ~
98 .    ds /
99 .\}
100 .if t \{\
101 .    ds ' \\k:\h'-(\\n(.wu*8/10-\*(#H)'\'\h"|\\n:u"
102 .    ds ` \\k:\h'-(\\n(.wu*8/10-\*(#H)'\`\h'|\\n:u'
103 .    ds ^ \\k:\h'-(\\n(.wu*10/11-\*(#H)'^\h'|\\n:u'
104 .    ds , \\k:\h'-(\\n(.wu*8/10)',\h'|\\n:u'
105 .    ds ~ \\k:\h'-(\\n(.wu-\*(#H-.1m)'~\h'|\\n:u'
106 .    ds / \\k:\h'-(\\n(.wu*8/10-\*(#H)'\z\(sl\h'|\\n:u'
108 .    \" troff and (daisy-wheel) nroff accents
109 .ds : \\k:\h'-(\\n(.wu*8/10-\*(#H+.1m+\*(#F)'\v'-\*(#V'\z.\h'.2m+\*(#F'.\h'|\\n:u'\v'\*(#V'
110 .ds 8 \h'\*(#H'\(*b\h'-\*(#H'
111 .ds o \\k:\h'-(\\n(.wu+\w'\(de'u-\*(#H)/2u'\v'-.3n'\*(#[\z\(de\v'.3n'\h'|\\n:u'\*(#]
112 .ds d- \h'\*(#H'\(pd\h'-\w'~'u'\v'-.25m'\f2\(hy\fP\v'.25m'\h'-\*(#H'
113 .ds D- D\\k:\h'-\w'D'u'\v'-.11m'\z\(hy\v'.11m'\h'|\\n:u'
114 .ds th \*(#[\v'.3m'\s+1I\s-1\v'-.3m'\h'-(\w'I'u*2/3)'\s-1o\s+1\*(#]
115 .ds Th \*(#[\s+2I\s-2\h'-\w'I'u*3/5'\v'-.3m'o\v'.3m'\*(#]
116 .ds ae a\h'-(\w'a'u*4/10)'e
117 .ds Ae A\h'-(\w'A'u*4/10)'E
118 .    \" corrections for vroff
119 .if v .ds ~ \\k:\h'-(\\n(.wu*9/10-\*(#H)'\s-2\u~\d\s+2\h'|\\n:u'
120 .if v .ds ^ \\k:\h'-(\\n(.wu*10/11-\*(#H)'\v'-.4m'^\v'.4m'\h'|\\n:u'
121 .    \" for low resolution devices (crt and lpr)
122 .if \n(.H>23 .if \n(.V>19 \
124 .    ds : e
125 .    ds 8 ss
126 .    ds o a
127 .    ds d- d\h'-1'\(ga
128 .    ds D- D\h'-1'\(hy
129 .    ds th \o'bp'
130 .    ds Th \o'LP'
131 .    ds ae ae
132 .    ds Ae AE
134 .rm #[ #] #H #V #F C
135 .\" ========================================================================
137 .IX Title "RSAUTL 1"
138 .TH RSAUTL 1 "2009-07-19" "1.0.1n" "OpenSSL"
139 .\" For nroff, turn off justification.  Always turn off hyphenation; it makes
140 .\" way too many mistakes in technical documents.
141 .if n .ad l
143 .SH "NAME"
144 rsautl \- RSA utility
145 .SH "LIBRARY"
146 libcrypto, -lcrypto
147 .SH "SYNOPSIS"
148 .IX Header "SYNOPSIS"
149 \&\fBopenssl\fR \fBrsautl\fR
150 [\fB\-in file\fR]
151 [\fB\-out file\fR]
152 [\fB\-inkey file\fR]
153 [\fB\-pubin\fR]
154 [\fB\-certin\fR]
155 [\fB\-sign\fR]
156 [\fB\-verify\fR]
157 [\fB\-encrypt\fR]
158 [\fB\-decrypt\fR]
159 [\fB\-pkcs\fR]
160 [\fB\-ssl\fR]
161 [\fB\-raw\fR]
162 [\fB\-hexdump\fR]
163 [\fB\-asn1parse\fR]
164 .SH "DESCRIPTION"
165 .IX Header "DESCRIPTION"
166 The \fBrsautl\fR command can be used to sign, verify, encrypt and decrypt
167 data using the \s-1RSA\s0 algorithm.
168 .SH "COMMAND OPTIONS"
169 .IX Header "COMMAND OPTIONS"
170 .IP "\fB\-in filename\fR" 4
171 .IX Item "-in filename"
172 This specifies the input filename to read data from or standard input
173 if this option is not specified.
174 .IP "\fB\-out filename\fR" 4
175 .IX Item "-out filename"
176 specifies the output filename to write to or standard output by
177 default.
178 .IP "\fB\-inkey file\fR" 4
179 .IX Item "-inkey file"
180 the input key file, by default it should be an \s-1RSA\s0 private key.
181 .IP "\fB\-pubin\fR" 4
182 .IX Item "-pubin"
183 the input file is an \s-1RSA\s0 public key.
184 .IP "\fB\-certin\fR" 4
185 .IX Item "-certin"
186 the input is a certificate containing an \s-1RSA\s0 public key.
187 .IP "\fB\-sign\fR" 4
188 .IX Item "-sign"
189 sign the input data and output the signed result. This requires
190 and \s-1RSA\s0 private key.
191 .IP "\fB\-verify\fR" 4
192 .IX Item "-verify"
193 verify the input data and output the recovered data.
194 .IP "\fB\-encrypt\fR" 4
195 .IX Item "-encrypt"
196 encrypt the input data using an \s-1RSA\s0 public key.
197 .IP "\fB\-decrypt\fR" 4
198 .IX Item "-decrypt"
199 decrypt the input data using an \s-1RSA\s0 private key.
200 .IP "\fB\-pkcs, \-oaep, \-ssl, \-raw\fR" 4
201 .IX Item "-pkcs, -oaep, -ssl, -raw"
202 the padding to use: PKCS#1 v1.5 (the default), PKCS#1 \s-1OAEP,\s0
203 special padding used in \s-1SSL\s0 v2 backwards compatible handshakes,
204 or no padding, respectively.
205 For signatures, only \fB\-pkcs\fR and \fB\-raw\fR can be used.
206 .IP "\fB\-hexdump\fR" 4
207 .IX Item "-hexdump"
208 hex dump the output data.
209 .IP "\fB\-asn1parse\fR" 4
210 .IX Item "-asn1parse"
211 asn1parse the output data, this is useful when combined with the
212 \&\fB\-verify\fR option.
213 .SH "NOTES"
214 .IX Header "NOTES"
215 \&\fBrsautl\fR because it uses the \s-1RSA\s0 algorithm directly can only be
216 used to sign or verify small pieces of data.
217 .SH "EXAMPLES"
218 .IX Header "EXAMPLES"
219 Sign some data using a private key:
221 .Vb 1
222 \& openssl rsautl \-sign \-in file \-inkey key.pem \-out sig
225 Recover the signed data
227 .Vb 1
228 \& openssl rsautl \-verify \-in sig \-inkey key.pem
231 Examine the raw signed data:
233 .Vb 1
234 \& openssl rsautl \-verify \-in file \-inkey key.pem \-raw \-hexdump
236 \& 0000 \- 00 01 ff ff ff ff ff ff\-ff ff ff ff ff ff ff ff   ................
237 \& 0010 \- ff ff ff ff ff ff ff ff\-ff ff ff ff ff ff ff ff   ................
238 \& 0020 \- ff ff ff ff ff ff ff ff\-ff ff ff ff ff ff ff ff   ................
239 \& 0030 \- ff ff ff ff ff ff ff ff\-ff ff ff ff ff ff ff ff   ................
240 \& 0040 \- ff ff ff ff ff ff ff ff\-ff ff ff ff ff ff ff ff   ................
241 \& 0050 \- ff ff ff ff ff ff ff ff\-ff ff ff ff ff ff ff ff   ................
242 \& 0060 \- ff ff ff ff ff ff ff ff\-ff ff ff ff ff ff ff ff   ................
243 \& 0070 \- ff ff ff ff 00 68 65 6c\-6c 6f 20 77 6f 72 6c 64   .....hello world
246 The PKCS#1 block formatting is evident from this. If this was done using
247 encrypt and decrypt the block would have been of type 2 (the second byte)
248 and random padding data visible instead of the 0xff bytes.
250 It is possible to analyse the signature of certificates using this
251 utility in conjunction with \fBasn1parse\fR. Consider the self signed
252 example in certs/pca\-cert.pem . Running \fBasn1parse\fR as follows yields:
254 .Vb 1
255 \& openssl asn1parse \-in pca\-cert.pem
257 \&    0:d=0  hl=4 l= 742 cons: SEQUENCE
258 \&    4:d=1  hl=4 l= 591 cons:  SEQUENCE
259 \&    8:d=2  hl=2 l=   3 cons:   cont [ 0 ]
260 \&   10:d=3  hl=2 l=   1 prim:    INTEGER           :02
261 \&   13:d=2  hl=2 l=   1 prim:   INTEGER           :00
262 \&   16:d=2  hl=2 l=  13 cons:   SEQUENCE
263 \&   18:d=3  hl=2 l=   9 prim:    OBJECT            :md5WithRSAEncryption
264 \&   29:d=3  hl=2 l=   0 prim:    NULL
265 \&   31:d=2  hl=2 l=  92 cons:   SEQUENCE
266 \&   33:d=3  hl=2 l=  11 cons:    SET
267 \&   35:d=4  hl=2 l=   9 cons:     SEQUENCE
268 \&   37:d=5  hl=2 l=   3 prim:      OBJECT            :countryName
269 \&   42:d=5  hl=2 l=   2 prim:      PRINTABLESTRING   :AU
270 \&  ....
271 \&  599:d=1  hl=2 l=  13 cons:  SEQUENCE
272 \&  601:d=2  hl=2 l=   9 prim:   OBJECT            :md5WithRSAEncryption
273 \&  612:d=2  hl=2 l=   0 prim:   NULL
274 \&  614:d=1  hl=3 l= 129 prim:  BIT STRING
277 The final \s-1BIT STRING\s0 contains the actual signature. It can be extracted with:
279 .Vb 1
280 \& openssl asn1parse \-in pca\-cert.pem \-out sig \-noout \-strparse 614
283 The certificate public key can be extracted with:
285 .Vb 1
286 \& openssl x509 \-in test/testx509.pem \-pubkey \-noout >pubkey.pem
289 The signature can be analysed with:
291 .Vb 1
292 \& openssl rsautl \-in sig \-verify \-asn1parse \-inkey pubkey.pem \-pubin
294 \&    0:d=0  hl=2 l=  32 cons: SEQUENCE
295 \&    2:d=1  hl=2 l=  12 cons:  SEQUENCE
296 \&    4:d=2  hl=2 l=   8 prim:   OBJECT            :md5
297 \&   14:d=2  hl=2 l=   0 prim:   NULL
298 \&   16:d=1  hl=2 l=  16 prim:  OCTET STRING
299 \&      0000 \- f3 46 9e aa 1a 4a 73 c9\-37 ea 93 00 48 25 08 b5   .F...Js.7...H%..
302 This is the parsed version of an \s-1ASN1\s0 DigestInfo structure. It can be seen that
303 the digest used was md5. The actual part of the certificate that was signed can
304 be extracted with:
306 .Vb 1
307 \& openssl asn1parse \-in pca\-cert.pem \-out tbs \-noout \-strparse 4
310 and its digest computed with:
312 .Vb 2
313 \& openssl md5 \-c tbs
314 \& MD5(tbs)= f3:46:9e:aa:1a:4a:73:c9:37:ea:93:00:48:25:08:b5
317 which it can be seen agrees with the recovered value above.
318 .SH "SEE ALSO"
319 .IX Header "SEE ALSO"
320 \&\fIopenssl_dgst\fR\|(1), \fIopenssl_rsa\fR\|(1), \fIopenssl_genrsa\fR\|(1)