OpenSSLのバージョンやその他のファイル形式などに依存しないRSA秘密鍵から同じパスワードを生成する再現可能な方法が必要です。
ありがとうございます!
編集1:
openssl dgst -sha256 -sign private.key -out signature /dev/null
後でこのコマンドを再試行すると、署名ファイルがまったく同じ(最も近いオクテットまで)維持されるかどうか疑問に思います。
編集2:
実際、EFIイメージ(EFIスタブ+カーネル+initrd)に署名するためにセキュアブートに使用される各システムのキーを生成するPKIがあります。各カーネルアップグレードに対してEFIイメージを再生成するには、システムが秘密鍵を知っている必要があります。秘密鍵はLUKSで暗号化されたrootfsに保存され、起動時にTPMを使用してロック解除されます。
要件:TPMに加えて、暗号化されたコンテナのロックを解除するためにRSAキーから派生し、LUKSスロットに格納されている512ビットの長いキーを生成したいと思います。
これにより、PKIデータベースの対応するRSA秘密鍵を使用して、破損したシステムから暗号化されたディスクを回復できます。
ベストアンサー1
RSA 秘密鍵に暗号化ハッシュ関数を適用することは、鍵からパスワードを生成する反復可能な方法です。
暗号化ハッシュ関数の性質により、ハッシュから鍵を回復できません。
このアプローチが望ましいかどうかは、より広い文脈に依存する。