Technischer Leitfaden zur Dekodierung von ASN.1-, DER- und PKCS-Formaten
In der Welt der Sicherheit und Kryptographie werden Daten selten in menschenlesbaren Formaten wie JSON oder XML gespeichert. Stattdessen werden sie in dichte, binäre Strukturen verpackt, die Standards folgen, die vor Jahrzehnten etabliert wurden. Wenn Sie jemals eine .der-, .p12- oder .csr-Datei gesehen haben und sich gefragt haben, was sich darin befindet, haben Sie die ASN.1-Familie kennengelernt.
Dieser Leitfaden erklärt, wie diese Binärformate funktionieren und wie man sie dekodiert.
1. Was ist ASN.1?
ASN.1 (Abstract Syntax Notation One) ist eine standardisierte Schnittstellen-Beschreibungssprache zur Definition von Datenstrukturen, die plattformübergreifend serialisiert und deserialisiert werden können. Es ist der „Quellcode“ für Sicherheitsdaten.
DER-Kodierung
Während ASN.1 die Struktur definiert, legt DER (Distinguished Encoding Rules) fest, wie diese Struktur in Binärdaten umgewandelt wird. DER ist eine Tag-Length-Value (TLV)-Kodierung, was bedeutet, dass jedes Datenelement mit einem Byte beginnt, das seinen Typ identifiziert (Tag), gefolgt von seiner Länge und dann den eigentlichen Daten.
2. Dekodierung gängiger Binärformate
CSR (Certificate Signing Request) Decoder
Ein CSR enthält Ihren öffentlichen Schlüssel und Identitätsinformationen. Er ist normalerweise in Base64 (PEM-Format) kodiert, basiert aber auf einer DER-kodierten ASN.1-Struktur.
- So dekodieren Sie: Sie können OpenSSL (
openssl req -in request.csr -noout -text) oder einen Online-CSR-Decoder verwenden, um den Inhaber (Subject), die Organisation und den öffentlichen Schlüssel zu sehen.
PKCS#7 (P7B) Decoder
PKCS#7 wird häufig zur Verteilung einer Zertifikatskette verwendet. Es enthält normalerweise das Zertifikat und alle Zwischenzertifikate, die zur Überprüfung erforderlich sind.
- So dekodieren Sie: Im Gegensatz zu einem einfachen Zertifikat kann eine PKCS#7-Datei mehrere Objekte enthalten. Die Dekodierung legt den „Beutel“ (Bag) mit den darin enthaltenen Zertifikaten offen.
PKCS#12 (P12/PFX) Decoder
PKCS#12 ist ein passwortgeschütztes Archiv, das einen privaten Schlüssel und das zugehörige Zertifikat speichern kann.
- So dekodieren Sie: Da es verschlüsselt ist, müssen Sie das Passwort kennen. Durch das Dekodieren können Sie den privaten Schlüssel und das Zertifikat in separate PEM-Dateien extrahieren.
3. ASN.1 und DER: Die „Baum“-Ansicht
Wenn Sie eine rohe DER-Datei (wie ein X.509-Zertifikat) dekodieren, erhalten Sie eine baumartige Struktur:
- SEQUENCE: Eine Liste von Elementen.
- OBJECT IDENTIFIER (OID): Eine Folge von Zahlen (wie
2.5.4.3), die ein bestimmtes Feld darstellen (z. B. „Common Name“). - BIT STRING / OCTET STRING: Rohe Binärdaten, die oft den öffentlichen Schlüssel oder die Signatur enthalten.
4. PGP- und GPG-Schlüsselansicht
Obwohl PGP (Pretty Good Privacy) sein eigenes paketbasiertes Format (RFC 4880) verwendet, verfolgt es das gleiche Ziel wie X.509: die Bindung einer Identität an einen öffentlichen Schlüssel.
- PGP Key Viewer: Die Inspektion eines PGP-Schlüssels legt die Benutzer-IDs, Erstellungsdaten und die für Signierung und Verschlüsselung verwendeten Unterschlüssel offen.
Zusammenfassung der Decoder-Tools
| Format | Erweiterung | Inhaltstyp | Wie man „hineinsieht“ |
|---|---|---|---|
| X.509 | .der, .crt |
Öffentliches Zertifikat | openssl x509 -inform der -text |
| CSR | .csr |
Signierungsanfrage | openssl req -text -noout |
| PKCS#12 | .p12, .pfx |
Zertifikat + Privater Schlüssel | openssl pkcs12 -info |
| PGP | .asc, .gpg |
PGP-Schlüssel/Nachricht | gpg --list-packets |
Fazit
Das Dekodieren binärer Sicherheitsformate ist wie das Lösen eines Rätsels. Sobald Sie verstehen, dass fast alles in der modernen PKI auf dem Fundament von ASN.1 und DER aufbaut, fangen die „zufälligen“ Bytes an, Sinn zu ergeben. Unabhängig davon, ob Sie Kommandozeilen-Tools wie OpenSSL oder webbasierte Decoder verwenden, ist die Fähigkeit, die rohe Struktur eines Zertifikats oder einer Anfrage zu inspizieren, eine wesentliche Fähigkeit für jeden sicherheitsbewussten Entwickler.
Suchen Sie nach einer Möglichkeit, die Dateiintegrität zu überprüfen? Verwenden Sie unseren Hash-Generator, um Prüfsummen für Ihre Sicherheitsdateien zu berechnen.