Update DTLSv1_listen documentation

[openssl.git] / doc / apps / pkcs8.pod
diff --git a/doc/apps/pkcs8.pod b/doc/apps/pkcs8.pod

index 6901f1f3f2112ecbb60540a58b68d52e69c2ae1e..ec9f1d14d51634f04b3612bdaa545114a41937f6 100644 (file)
--- a/doc/apps/pkcs8.pod
+++ b/doc/apps/pkcs8.pod
@@ -7,6 +7,7 @@ pkcs8 - PKCS#8 format private key conversion tool
  =head1 SYNOPSIS
  
  B<openssl> B<pkcs8>
+[B<-help>]
  [B<-topk8>]
  [B<-inform PEM|DER>]
  [B<-outform PEM|DER>]
@@ -14,6 +15,7 @@ B<openssl> B<pkcs8>
  [B<-passin arg>]
  [B<-out filename>]
  [B<-passout arg>]
+[B<-iter count>]
  [B<-noiter>]
  [B<-nocrypt>]
  [B<-nooct>]
@@ -23,6 +25,10 @@ B<openssl> B<pkcs8>
  [B<-v2prf alg>]
  [B<-v1 alg>]
  [B<-engine id>]
+[B<-scrypt>]
+[B<-scrypt_N N>]
+[B<-scrypt_r r>]
+[B<-scrypt_p p>]
  
  =head1 DESCRIPTION
  
@@ -34,6 +40,10 @@ format with a variety of PKCS#5 (v1.5 and v2.0) and PKCS#12 algorithms.
  
  =over 4
  
+=item B<-help>
+
+Print out a usage message.
+
  =item B<-topk8>
  
  Normally a PKCS#8 private key is expected on input and a traditional format
@@ -62,7 +72,7 @@ prompted for.
  =item B<-passin arg>
  
  the input file password source. For more information about the format of B<arg>
-see the B<PASS PHRASE ARGUMENTS> section in L<openssl(1)|openssl(1)>.
+see the B<PASS PHRASE ARGUMENTS> section in L<openssl(1)>.
  
  =item B<-out filename>
  
@@ -74,7 +84,13 @@ filename.
  =item B<-passout arg>
  
  the output file password source. For more information about the format of B<arg>
-see the B<PASS PHRASE ARGUMENTS> section in L<openssl(1)|openssl(1)>.
+see the B<PASS PHRASE ARGUMENTS> section in L<openssl(1)>.
+
+=item B<-iter count>
+
+When creating new PKCS#8 containers, use a given number of iterations on
+the password in deriving the encryption key for the PKCS#8 output.
+High values increase the time required to brute-force a PKCS#8 container.
  
  =item B<-nocrypt>
  
@@ -137,6 +153,17 @@ to attempt to obtain a functional reference to the specified engine,
  thus initialising it if needed. The engine will then be set as the default
  for all available algorithms.
  
+=item B<-scrypt>
+
+uses the B<scrypt> algorithm for private key encryption using default
+parameters: currently N=1024, r=8 and p=16 and AES in CBC mode with a 256 bit
+key. These parameters can be modified using the B<-scrypt_N>, B<-scrypt_r>,
+B<-scrypt_p> and B<-v2> options.
+
+B<-scrypt_N N> B<-scrypt_r r> B<-scrypt_p p>
+
+sets the scrypt B<N>, B<r> or B<p> parameters.
+
  =back
  
  =head1 NOTES
@@ -224,6 +251,11 @@ Read a DER unencrypted PKCS#8 format private key:
  Convert a private key from any PKCS#8 format to traditional format:
  
   openssl pkcs8 -in pk8.pem -out key.pem
+ 
+Convert a private key to PKCS#8 format, encrypting with AES-256 and with 
+one million iterations of the password:
+
+ openssl pkcs8 -in raw.pem -topk8 -v2 aes-256-cbc -iter 1000000 -out pk8.pem
  
  =head1 STANDARDS
  
@@ -249,7 +281,11 @@ the old format at present.
  
  =head1 SEE ALSO
  
-L<dsa(1)|dsa(1)>, L<rsa(1)|rsa(1)>, L<genrsa(1)|genrsa(1)>,
-L<gendsa(1)|gendsa(1)> 
+L<dsa(1)>, L<rsa(1)>, L<genrsa(1)>,
+L<gendsa(1)> 
+
+=head1 HISTORY
+
+The B<-iter> option was added to OpenSSL 1.1.0.
  
  =cut