DER & PEM

ASN.1提供了多种数据编码方法。包括了BER、DER、PER和XER等。这些编码方法规定了将数字对象转换成应用程序能够处理、保存和网络传输的二进制编码形式的一组规则。目前经常被采用的是BER(Basic Encode Rules)编码,但是BER编码具有编码不唯 一的性质,也就是说,一个相同的对象通过BER编码可能会产生几种不同的编码数据。所以,在OpenSSL和其他密码学相关软件中经常使用BER的一个子DER(Distinguished Encoding Rules)。对于每一个ASN.1对象,使用DER编码得出的二制编码码数据是唯 一的。

PEM编码全称是Privacy Enhanced Mail,是一种保密邮件的编码标准。通常来说,对信息的编码过程基本如下。

  • 信息转换为ASCII码或其他编码方式,比如采用DER编码。
  • 使用对称加密算法加密经过编码的信息。
  • 使用BASE64对加密码后的信息进行编码。
  • 使用一些头定义对信息进行封装,主要包含了进行正确解码需要的信息,头定义的格式形式如下:
Proc-Type:4,ENCRYPTED
DEK-Info:cipher-name,ivec

其中,第一个头信息标注了该文件是否进行了加密,该头信息可能的值包括ENCRYPTED(信息已经加密和签名),MIC-ONLY(信息经过数据签名但没有加密),MIC-CLEAR(信息经过数字签名但是没有加密,也没有进行编码,可使用非PEM格式阅读),以及CLEAR;第二个头信息标注了加密的算法及对称加密块算法使用的初始向量。

在这些信息的前面加上如下形式头标注信息:

---BEGIN PRIVACY-ENHANCED MESSAGE---
在这些信息的后面加上如下形尾标注信息:
---END PRIVACY-ENHANCED MESSAGE---

OpenSSL的PEM编码基本上是基于DER编码之上的,也就是说,它在上述第一步采用的是DER编码,所以,从本质上来说,OpenSSL的PEM编码就是在DER编码基础上进行BASE64编码,然后添加一些头尾信息组成的。