@spec belongs_to_certificate?(t(), Sat.Certificados.Certificate.t()) :: boolean()

true si esta llave corresponde al certificado dado (mismo módulo y exponente).

@spec from_der(binary(), String.t() | nil, load_opts()) ::
  {:ok, t()} | {:error, term()}

Carga llave desde DER (p. ej. .key cifrado del SAT) usando la contraseña.

Soporta PKCS#8 EncryptedPrivateKeyInfo (formato SAT), PKCS#8 PrivateKeyInfo plano y PKCS#1 RSAPrivateKey plano.

Cuando opts[:strict] es true, solo acepta PKCS#8 cifrado.

@spec from_file(String.t(), String.t() | nil, load_opts()) ::
  {:ok, t()} | {:error, term()}

Lee archivo .key (DER cifrado o PEM claro).

En modo strict: true rechaza PEM y DER sin cifrar.

@spec from_pem(String.t()) :: {:ok, t()} | {:error, term()}

Carga llave desde PEM (sin cifrar).

@spec rsa_decrypt(t(), String.t()) :: {:ok, binary()} | {:error, term()}

Desencripta un mensaje cifrado con la llave pública del certificado correspondiente (RSA PKCS#1 v1.5). El input debe estar en Base64. Retorna el plaintext como binary.

@spec sign(t(), iodata(), atom()) :: String.t()

Firma datos con RSA y SHA-256 por defecto; devuelve la firma en Base64.

Algoritmos válidos: :sha256, :sha384, :sha512, :sha, :md5.

@spec to_pem(t()) :: String.t()

PEM PKCS#8 (sin cifrar) de la llave decodificada.