欢迎访问 生活随笔!
TAG聚合

生活随笔

当前位置: 首页 > 编程资源 > 编程问答 >内容正文

编程问答

Microsoft CryptoAPI加密技术(二)

发布时间:2025/3/20 编程问答 63 豆豆
生活随笔 收集整理的这篇文章主要介绍了 Microsoft CryptoAPI加密技术(二) 小编觉得挺不错的,现在分享给大家,帮大家做个参考.

原文:http://www.vckbase.com/index.php/wv/717.html

上次我们讲了Microsoft CryptoAPI的构成以及会话密钥的使用。接下来我们将看一下公私密钥对的使用、HASH算法、数字签名等技术。

一、 公用密钥加密技术

公用密钥加密技术使用两个不同的密钥:公钥和私钥。私钥必须安全的保管好不能被外人知道,而公钥可以告诉任何人,只要他需要。通常公钥是以数字证书的形式发布的。

用公私密钥对中的一个密钥加密的数据只能用密钥对中的另一个密钥才能解密。也就是说用用户A的公钥加密的数据只能用A的私钥才能解密,同样,用A的私钥加密的数据只能用A的公钥才能解密。

如果用私钥签名一个消息,那么必须用与之对应的公钥去验证签名的有效性。

不幸的是公用密钥加密技术的效率非常低甚至只有对称加密的千分之一,所以不适合对大量的数据进行加密。实际上,公用密钥加密技术一般用来加密会话密钥,而数据加密可以用对称加密的方法。

好了,让我们回到Microsoft CryptoAPI。我们知道一个CSP有一个密钥库,这个密钥库有一个或多个密钥容器。而密钥容器中有什么呢?一般来说,一个密钥容器中有两对公私密钥对,一对用来加密会话密钥,而另一对用来进行数字签名,也就是大家知道的key exchange key pair和signature key pair。

那么,怎么得到这些密钥对呢?

view source print? 01.if(CryptGetUserKey( 02.   hCryptProv,                     // 我们已经得到的CSP句柄 03.   AT_SIGNATURE,                   // 这里想得到signature key pair 04.   &hKey))                         // 返回密钥句柄 05.{ 06.    printf("A signature key is available.\n"); 07.} 08.else        //取signature key pair错误 09.{ 10.    printf("No signature key is available.\n"); 11.    if(GetLastError() == NTE_NO_KEY) //密钥容器里不存在signature key pair 12.    { 13.       // 创建 signature key pair.  14.       printf("The signature key does not exist.\n"); 15.       printf("Create a signature key pair.\n");  16.       if(CryptGenKey( 17.          hCryptProv,       //CSP句柄 18.          AT_SIGNATURE, //创建的密钥对类型为signature key pair 19.          0,            //key类型,这里用默认值 20.          &hKey))       //创建成功返回新创建的密钥对的句柄 21.       { 22.          printf("Created a signature key pair.\n"); 23.       } 24.       else 25.       { 26.          printf ("Error occurred creating a signature key.\n");  27.       } 28.    } 29.    else 30.    { 31.        printf ("An error other than NTE_NO_KEY getting signature\key.\n"); 32.    } 33.} // end if

将参数AT_SIGNATURE换成AT_KEYEXCHANGE就可以得到key exchange key pair。

现在我们得到的仅仅是一个句柄,我们需要把这个key值存储的磁盘或文件中,这样才能传给对方来进行解密。下面让我们来看一个用于导出密钥的API。

view source print? 1.BOOL WINAPI CryptExportKey( 2.  HCRYPTKEY hKey, 3.  HCRYPTKEY hExpKey, 4.  DWORD dwBlobType, 5.  DWORD dwFlags, 6.  BYTE* pbData, 7.  DWORD* pdwDataLen 8.);

hKey:需要被导出的密钥句柄

hExpKey:前面咱们提到公用密钥加密技术的效率非常低所以公用密钥加密技术一般用来加密会话密钥。这里传入的密钥就是用来加密被导出的密钥的。也就是说,被导出的密钥hKey的数据是经过这个密钥hExpKey加密的。如果为NULL表示不经过加密直接导出。

dwBlobType:被导出的密钥类型,比如公钥还是私钥等

dwFlags:标志位

pbData:保存导出的数据,如果为NULL, pdwDataLen将返回导出数据的长度

pdwDataLen:输入pbData缓冲区的大小,输出导出数据的长度

下面的例子演示如何导出密钥。

view source print? 01.if(CryptExportKey(    02.   hKey,     03.   NULL,     04.   PUBLICKEYBLOB,       //导出公钥 05.   0,     06.   NULL,  07.   &dwBlobLen))         //返回密钥数据长度 08.{ 09.     printf("Size of the BLOB for the public key determined. \n"); 10.} 11.else 12.{ 13.     printf("Error computing BLOB length.\n"); 14.     exit(1); 15.} 16.//-------------------------------------------------------------------- 17.// Allocate memory for the pbKeyBlob. 18.   19.if(pbKeyBlob = (BYTE*)malloc(dwBlobLen))  20.{ 21.    printf("Memory has been allocated for the BLOB. \n"); 22.} 23.else 24.{ 25.    printf("Out of memory. \n"); 26.    exit(1); 27.} 28.//-------------------------------------------------------------------- 29.// Do the actual exporting into the key BLOB. 30.   31.if(CryptExportKey(    32.   hKey,  33.   NULL,     34.   PUBLICKEYBLOB,     35.   0,     36.   pbKeyBlob,       //返回密钥数据 37.   &dwBlobLen)) //导出的密钥数据的长度 38.{ 39.     printf("Contents have been written to the BLOB. \n"); 40.} 41.else 42.{ 43.    printf("Error exporting key.\n"); 44.    exit(1); 45.}

如果要导出用公用密钥加密技术加密的密钥,只要把API的第二个参数传入一个key exchange key pair句柄就可以了。

既然有了导出当然要有导入。

view source print? 1.BOOL WINAPI CryptImportKey( 2.  HCRYPTPROV hProv, //CSP句柄 3.  BYTE* pbData,     //要导入的密钥数据 4.  DWORD dwDataLen,  //数据长度 5.  HCRYPTKEY hPubKey,    //如果数据是被加密的这里输入解密用的密钥句柄 6.  DWORD dwFlags,        //标志位 7.  HCRYPTKEY* phKey  //导入后返回的密钥句柄 8.);

这个API比较简单,这里就不举例说明了,在以后的例子里会看到。

二、 HASH

Hash简单点讲就是把任意一段数据经过某种算法生成一段唯一的固定长度的数据。也叫做摘要。为了确保数据A免受意外或者故意(恶意)的修改,往往用这段数据A产生一个hash数据一起发送出去,接收方可以通过相同的hash算法用这段接收到的数据A产生一个新的hash数据并与接收到的hash数据比较,来验证数据A是否为真实完整的数据。

下面的API用来创建hash对象

view source print? 01.BOOL WINAPI CryptCreateHash( 02.  HCRYPTPROV hProv, //CSP句柄 03.  ALG_ID Algid, //选择hash算法,比如CALG_MD5等 04.  HCRYPTKEY hKey,   //HMAC 和MAC算法时有用 05.  DWORD dwFlags,    //保留,传入0即可 06.  HCRYPTHASH* phHash    //返回hash句柄 07.); 08.   09.if(CryptCreateHash( 10.   hCryptProv,  11.   CALG_MD5,  12.   0,  13.   0,  14.   &hHash))  15.{ 16.    printf("An empty hash object has been created. \n"); 17.} 18.else 19.{ 20.    printf("Error during CryptBeginHash!\n"); 21.    exit(1); 22.} 23.   24.// Insert code that uses the hash object here. 25.   26.//-------------------------------------------------------------------- 27.// After processing, hHash must be released. 28.   29.if(hHash)  30.   CryptDestroyHash(hHash); //释放句柄

我们已经得到hash对象了,下面就找点数据试试,咱也去哈一下,当然这里可不是哈日哈韩的哈,更不是哈巴狗的哈,嘿嘿。Let’s go!!

哎呀!!不好意思,忘记了介绍一个API,看看先。

view source print? 1.BOOL WINAPI CryptHashData( 2.  HCRYPTHASH hHash,     //hash对象 3.  BYTE* pbData,     //被hash的数据 4.  DWORD dwDataLen,      //数据的长度 5.  DWORD dwFlags     //微软的CSP这个值会被忽略 6.);

下面代码:

view source print? 01.BYTE *pbBuffer= (BYTE *)"The data that is to be hashed."; 02.DWORD dwBufferLen = strlen((char *)pbBuffer)+1; 03.   04.if(CryptHashData( 05.   hHash,  06.   pbBuffer,  07.   dwBufferLen,  08.   0))  09.{ 10.     printf("The data buffer has been added to the hash.\n"); 11.} 12.else 13.{ 14.     printf("Error during CryptHashData.\n"); 15.     exit(1); 16.}

现在,pbBuffer里的内容已经被hash了,然后我们需要导出哈希后的数据。

view source print? 01.BYTE         *pbHash; 02.BYTE         *pbHashSize; 03.DWORD        dwHashLen = sizeof(DWORD); 04.DWORD        i; 05.   06.if(!(pbHashSize =(BYTE *) malloc(dwHashLen))) 07.MyHandleError("Memory allocation failed."); 08.   09.//下面的这次调用我没搞清楚:( 我怎么觉得没有必要!! 10.if(CryptGetHashParam( 11.   hHash,  12.   HP_HASHSIZE,     //取hash数据的大小 13.   pbHashSize,  //输出hash数据大小的缓冲区 14.   &dwHashLen,  //缓冲区大小 15.   0))  16.{ 17.// It worked. Free pbHashSize. 18.   free(pbHashSize); 19.} 20.else 21.{ 22.    MyHandleError("CryptGetHashParam failed to get size."); 23.} 24.   25.if(CryptGetHashParam( 26.   hHash,  27.   HP_HASHVAL,  //取hash值 28.   NULL,        //设为NULL,在dwHashLen返回需要的输出缓冲区大小 29.   &dwHashLen,  //输出缓冲区大小 30.   0))  31.{ 32.// It worked. Do nothing. 33.} 34.else 35.{ 36.    MyHandleError("CryptGetHashParam failed to get length."); 37.} 38.   39.if(pbHash = (BYTE*)malloc(dwHashLen)) 40.{ 41.// It worked. Do nothing. 42.} 43.else 44.{ 45.     MyHandleError("Allocation failed."); 46.} 47.   48.if(CryptGetHashParam( 49.   hHash,  50.   HP_HASHVAL,  //取hash值 51.   pbHash,      //返回Hash数据 52.   &dwHashLen,  //hash数据长度 53.   0))  54.{ 55.    // Print the hash value. 56.    printf("The hash is:  "); 57.   for(i = 0 ; i < dwHashLen ; i++)  58.   { 59.       printf("%2.2x ",pbHash[i]); 60.   } 61.printf("\n"); 62.} 63.else 64.{ 65.    MyHandleError("Error during reading hash value."); 66.} 67.free(pbHash);

三、 数字签名

发布一个纯文本形式信息时,接收者可以用数字签名来鉴别和验证信息的发送者。对信息签名并不改变这个信息,只是生成一个数字签名串随信息一起传送,或单独传送。

一个数字签名,就是一段被用发送者的私钥加密的数据段,而接收者只有拥有发送者的公钥才能解密这个数据段。表示如下:

由Message生成数字签名有两步。首先,对Message进行hash处理,产生hash数据。然后用签名者A的私钥对这个hash数据加密。具体如下:

 

验证一个签名需要上图表示的Message和Digital signatures。首先跟生成时一样对Message进行hash处理,产生hash数据。然后通过签名者A的公钥、Digital signatures以及刚生成的hash数据进行验证。具体如下:

 

好了,你是否学会数字签名了呢?很多技术名词听起来很唬人,其实本来是很简单的!!嘿嘿。

随文档的例程几乎将用到我们上面讲的所有内容。

参考资料:

MSDN相关章节。

总结

以上是生活随笔为你收集整理的Microsoft CryptoAPI加密技术(二)的全部内容,希望文章能够帮你解决所遇到的问题。

如果觉得生活随笔网站内容还不错,欢迎将生活随笔推荐给好友。