Eu tentei converter uma chave codificada por PEM para o formato DER, e parece que a senha foi removida, independentemente do argumento -passout.
Exemplo:
openssl rsa -in tmp.pem -outform DER -out tmp.der -passin pass:foo -passout pass:bar -des3
A chave resultante não aparece mais protegida por senha, então estou assumindo que o formato DER não suporta uma senha - isso está correto?
Que alternativa existe para armazenar isso de forma compacta e binária e manter a proteção por senha?
Na verdade, o -passout é ignorado. Última frase da ajuda para -des3 na página do manual é
These options can only be used with PEM format output files.
Os utilitários do OpenSSL simplesmente não lidam com chaves no formato não-PEM.
Para a duração de uma chave, por que você se importa se a base64 aumentou 1/3 mais? Para a maioria dos sistemas de arquivos, isso ainda será menor que um bloco, portanto, não haverá alteração real na quantidade de espaço em disco usada.