《ASCE1885的信息安全》のCryptoAPI

时间:2022-09-07 13:14:56

在公开密码算法的前提下,数据的安全取决于密钥。因此,密钥的产生、销毁、交换(分发)是数据保密工作中的重要部分。

CryptoAPI密钥产生和交换函数主要有生成密钥函数CryptGenKey、派生密钥函数CryptDeriveKey、销毁密钥函数CryptDestroyKey、复制密钥函数CryptDuplicateKey、导出密钥函数CryptExportKey、导入密钥函数CryptImportKey、获得密钥参数函数CryptGetKeyParam、设置密钥参数函数CryptSetKeyParam、产生随机函数CryptGenRandom、

 

一、生成函数CryptGenKey:

功能:产生一个随机的对称或非对称算法的密钥;

原型:

BOOL WINAPI CryptGenKey(

  __in   HCRYPTPROV hProv,         //CSP句柄指针

  __in   ALG_ID Algid,       //密码算法标识

  __in   DWORD dwFlags,        //标志位,指定生成密钥的参数,

//如对称密钥的长度,RSA密钥的长度

  __out  HCRYPTKEY *phKey  //新产生的密钥的句柄

);

其中,Algid参数取值如下:

CALG_HMAC---HMAC带密钥的摘要算法;

CALG_MD2---MD2摘要算法;

CALG_MD4---MD4摘要算法;

CALG_MD5---MD5摘要算法;

CALG_SHA---SHA摘要算法;

CALG_SHA1---SHA1摘要算法;

CALG_MAC---MAC算法;

CALG_SSL3_SHAMD5---SSLV3客户端算法;

CALG_RSA_SIGN---RSA签名算法;

CALG_DSS_SIGN---DSS签名算法;

CALG_RSA_KEYX---RSA加密算法;

CALG_DES---DES---对称加密算法;

CALG_3DES_112---112位的3DES加密算法;

CALG_3DES---3DES加密算法;

CALG_RC2---RC2分组算法;

CALG_RC4---RC4流加密算法。

 

返回值:操作成功返回TRUE,否则返回FALSE,使用GetLastError获取更多信息。

 

二、派生密钥函数CryptDeriveKey:

功能:根据基础数据派生以对称密钥(会话密钥);

原型:

BOOL WINAPI CryptDeriveKey(

  __in     HCRYPTPROV hProv,     //CSP句柄指针

  __in     ALG_ID Algid,  //密码算法标识

  __in     HCRYPTHASH hBaseData,     //基础数据的摘要句柄

  __in     DWORD dwFlags,   //标志位

  __inout  HCRYPTKEY *phKey        //新产生的会话密钥句柄

);

此函数和CryptGenKey函数相似,不同的是CryptGenKey是通过随机数产生的,而CryptDeriveKey是通过指定的数据产生的。CryptDeriveKey只能产生对称算法的会话密钥,不能产生非对称算法的公/私钥。

 

返回值:操作成功返回TRUE,否则返回FALSE,使用GetLastError获取更多信息。

 

三、销毁密钥函数CryptDestroyKey:

功能:销毁密钥;

原型:

BOOL WINAPI CryptDestroyKey(

  __in  HCRYPTKEY hKey //密钥句柄

);

 

返回值:操作成功返回TRUE,否则返回FALSE,使用GetLastError()获取更多信息。

 

下面的示例由一个密码产生会话密钥:

#include <windows.h>

#include <wincrypt.h>

#include <iostream>

#include <string.h>

#include <conio.h>

#include <stdio.h>

#pragma comment(lib, "crypt32.lib")

 

#define PASSWORD_LENGTH 512

 

void HandleError(TCHAR* s);

void GetConsoleInput(CHAR*, UINT);

 

int _tmain(int argc, _TCHAR* argv[])

{

         HCRYPTPROV hCryptProv;

         HCRYPTKEY hKey;

         HCRYPTHASH hHash;

         CHAR szPassword[PASSWORD_LENGTH] = "";

         DWORD dwLength;

 

         fprintf(stderr, "请输入用于产生会话密钥的密码:");

         //获得用户输入密码,控制台上显示的是*号

         GetConsoleInput(szPassword, PASSWORD_LENGTH);

         printf("密码已保存/n");

         dwLength = (DWORD)strlen(szPassword);

        

         //获得CSP句柄

         if(!CryptAcquireContext(&hCryptProv, NULL, NULL,

                   PROV_RSA_FULL, 0))

         {

                   HandleError(L"获取CSP句柄时出错");

         }

 

         //创建一个空的哈希对象

         if(!CryptCreateHash(hCryptProv, CALG_MD5, 0, 0, &hHash))

         {

                   HandleError(L"创建空的哈希对象时出错");

         }

 

         //对密码进行哈希

         if(!CryptHashData(hHash, (BYTE*)szPassword, dwLength, 0))

         {

                   HandleError(L"对密码进行哈希时出错");

         }

 

         //由密码的哈希值创建会话密钥

         if(!CryptDeriveKey(hCryptProv, CALG_RC2, hHash,

                   CRYPT_EXPORTABLE, &hKey))

         {

                   HandleError(L"由密码的哈希值创建会话密钥时出错");

         }

 

         //这里使用上面得到的会话密钥进行加解密等操作,略...

 

         //释放资源

         if(hHash)

         {

                   if(!CryptDestroyHash(hHash))

                            HandleError(L"销毁哈希对象时出错");

         }

 

         if(hKey)

         {

                   if(!CryptDestroyKey(hKey))

                            HandleError(L"销毁会话密钥时出错");

         }

 

         if(hCryptProv)

         {

                   if(!CryptReleaseContext(hCryptProv, 0))

                            HandleError(L"释放CSP句柄时出错");

         }

         printf("程序正常结束运行/n");

         system("pause");

         return 0;

}

 

void HandleError(TCHAR* s)

{

         _tprintf(TEXT("程序运行出现错误./n"));

    _tprintf(TEXT("%s/n"),s);

    _tprintf(TEXT("错误代码%x/n."), GetLastError());

    _tprintf(TEXT("程序终止./n"));

         exit(1);

}

 

//从键盘获取字符串输入,并控制台上*号显示

void GetConsoleInput(char* strInput, UINT intMaxChars)

{

         char ch;

         char minChar = ' ';

         minChar++;

 

         ch = _getch();

         while(ch != '/r')

         {

                   if(ch == '/b' && strlen(strInput) > 0)

                   {

                            strInput[strlen(strInput)-1] = '/0';

                            printf("/b /b");

                   }

                   else if((ch >= minChar) && (strlen(strInput) < intMaxChars))

                   {

                            strInput[strlen(strInput)+1] = '/0';

                            strInput[strlen(strInput)] = ch;

                            _putch('*');

                   }

                   ch = _getch();

         }

         _putch('/n');

}

 

四、复制密钥函数CryptDuplicateKey:

功能:复制一个密钥,产生一个密钥的拷贝,包括其状态;

原型:

BOOL WINAPI CryptDuplicateKey(

  __in   HCRYPTKEY hKey,       //密钥句柄

  __in   DWORD *pdwReserved,   //保留参数,必须为NULL

  __in   DWORD dwFlags,        //保留参数,必须为0

  __out  HCRYPTKEY *phKey  //复制后的密钥句柄

);

 

返回值:操作成功返回TRUE,否则返回FALSE,使用GetLastError()获取更多信息。

 

五、获得密钥参数函数CryptGetKeyParam:

功能:获得key句柄的各项参数;

原型:

BOOL WINAPI CryptGetKeyParam(

  __in     HCRYPTKEY hKey,  //密钥句柄

  __in     DWORD dwParam,         //参数类型

  __out    BYTE *pbData,          //接收key参数数据缓冲区指针

  __inout  DWORD *pdwDataLen,          //输出的数据长度

  __in     DWORD dwFlags    //保留参数,必须为0

);

其中,对于所有的key,dwParam可取值如下:

KP_ALGID---算法ID;

KP_BLOCKLEN---如果hKey为会话密钥,则此参数获得对称算法分组长度(单位为比特);

如果hKey为非对称密钥,则此参数获得密钥对加密强度(单位为比特,如1024bits RSA)

KP_KEYLEN---密钥长度;

KP_SALT---salt值,不使用于非对称密钥对;

 

对于对称密钥或者会话密钥,dwParam还可取值如下:

KP_IV---初始化向量;

KP_PADDING---补位的方式;

KP_MODE---加密模式(CBC、ECB等)。

 

返回值:操作成功返回TRUE,否则返回FALSE,调用GetLastError()获得更多信息。

 

六、获得密钥参数函数CryptSetKeyParam:

功能:设置key句柄的各项参数;

原型:

BOOL WINAPI CryptSetKeyParam(

  __in  HCRYPTKEY hKey,         //密钥句柄

  __in  DWORD dwParam,       //参数类型

  __in  const BYTE *pbData,      //参数数据缓冲区指针

  __in  DWORD dwFlags  //只用于dwParam为KP_ALGID时

);

其中dwParam可取值如下:

KP_ALGID---算法ID;

KP_SALT---salt值,不适用于非对称密钥对;

KP_IV---初始化向量;

KP_PADDING---补位的方式;

KP_MODE---加密模式(CBC,ECB等);

KP_CERTIFICATE---设置数字证书,对于RSA密钥,设置与其对应的数字证书;pbData即为DER编码的X509证书指针;

KP_KEYEXCHANGE_PIN---设置操作该交换密钥的口令;

KP_SIGNATRUE_PIN---设置操作该签名密钥的口令。

 

返回值:操作成功返回TRUE,否则返回FALSE,调用GetLastError()获得更多信息。

 

七、获得随机数函数CryptGenRandom:

功能:生成随机数;

原型:

BOOL WINAPI CryptGenRandom(

  __in     HCRYPTPROV hProv,     //CSP句柄

  __in     DWORD dwLen,      //生成随机数的长度

  __inout  BYTE *pbBuffer         //接收随机数缓冲区的指针

);

 

返回值:操作成功返回TRUE,否则返回FALSE,调用GetLastError()获得更多信息。

 

下面代码示例演示了复制一个会话密钥的过程:

#include <windows.h>

#include <wincrypt.h>

#include <iostream>

#include <string.h>

#include <conio.h>

#include <stdio.h>

#pragma comment(lib, "crypt32.lib")

 

//#define ASCE_ENCODING_TYPE (PKCS_7_ASN_ENCODING | X509_ASN_ENCODING)

#define PASSWORD_LENGTH 512

 

void HandleError(TCHAR* s);

void GetConsoleInput(CHAR*, UINT);

 

int _tmain(int argc, _TCHAR* argv[])

{

         HCRYPTPROV hCryptProv;

         HCRYPTKEY hOriginalKey;

         HCRYPTKEY hDuplicateKey;

         DWORD dwMode;

         BYTE pbData[16];

 

         printf("本程序创建一个会话密钥,并复制它,同时添加参数到原会话密钥中/n");

 

         if(!CryptAcquireContext(&hCryptProv, NULL, NULL,

                   PROV_RSA_FULL, 0))

         {

                   HandleError("创建CSP句柄时出错");

         }

 

         //生成一个会话密钥

         if(!CryptGenKey(hCryptProv, CALG_RC4, 0, &hOriginalKey))

         {

                   HandleError("生成会话密钥时出错");

         }

 

         //复制会话密钥

         if(!CryptDuplicateKey(hOriginalKey, NULL, 0, &hDuplicateKey))

         {

                   HandleError("复制会话密钥时出错");

         }

 

         //给原会话密钥设置参数

         dwMode = CRYPT_MODE_ECB;

         if(!CryptSetKeyParam(hOriginalKey, KP_MODE,

                   (BYTE*)&dwMode, 0))

         {

                   HandleError("给原会话密钥设置参数时出错");

         }

 

         //生成一个随机初始化向量

         if(!CryptGenRandom(hCryptProv, 8, pbData))

         {

                   HandleError("生成一个随机初始化向量时出错");

         }

 

         //给原会话密钥设置初始化向量

         if(!CryptSetKeyParam(hOriginalKey, KP_IV, pbData, 0))

         {

                   HandleError("给原会话密钥设置初始化向量时出错");

         }

 

         //释放资源

         if(hOriginalKey)

         {

                   if(!CryptDestroyKey(hOriginalKey))

                            HandleError(L"销毁原会话密钥时出错");

         }

 

         if(hDuplicateKey)

         {

                   if(!CryptDestroyKey(hDuplicateKey))

                            HandleError(L"销毁复制会话密钥时出错");

         }

 

         if(hCryptProv)

         {

                   if(!CryptReleaseContext(hCryptProv, 0))

                            HandleError(L"释放CSP句柄时出错");

         }

         printf("程序正常结束运行/n");

         system("pause");

         return 0;

}

 

void HandleError(TCHAR* s)

{

         _tprintf(TEXT("程序运行出现错误./n"));

    _tprintf(TEXT("%s/n"),s);

    _tprintf(TEXT("错误代码%x/n."), GetLastError());

    _tprintf(TEXT("程序终止./n"));

         exit(1);

}

 

八、导出密钥函数CryptExportKey:

功能:从CSP导出密钥或密钥对;

原型:

BOOL WINAPI CryptExportKey(

  __in     HCRYPTKEY hKey,  //要导出的密钥句柄

  __in     HCRYPTKEY hExpKey, //目标用户的加密密钥,用于加密要导出的数

  __in     DWORD dwBlobType,   //pbData中的数据类型

  __in     DWORD dwFlags,   //标志位

  __out    BYTE *pbData,          //接收导出密钥数据块的缓冲区指针

  __inout  DWORD *pdwDataLen  //pbData字节大小

);

 

返回值:操作成功返回TRUE,否则返回FALSE,调用GetLastError()获得更多信息。

 

九、导入密钥函数CryptImportKey:

功能:把BLOB数据导入CSP,该函数可导入会话密钥、公钥、或者公私钥对。

原型:

BOOL WINAPI CryptImportKey(

  __in   HCRYPTPROV hProv,         //CSP句柄

  __in   BYTE *pbData,      //BLOB数据

  __in   DWORD dwDataLen, //BLOB数据长度

  __in   HCRYPTKEY hPubKey,        //此参数的意义根据CSP类型以及导入的BLOB数据的类型不同而不同:如果BLOB数据是由交换密钥加密的,该参数就是交换密钥的句柄

如果BLOB数据是由会话密钥加密的,该参数就是会话密钥的句柄

如果BLOB数据没有被加密,则该参数为NULL

  __in   DWORD dwFlags,        //标志位

  __out  HCRYPTKEY *phKey  //导入密钥的句柄

);

 

返回值:操作成功返回TRUE,否则返回FALSE,调用GetLastError()获得更多信息。

 

下面代码演示了密钥的导入和导出操作:

#include <windows.h>

#include <wincrypt.h>

#include <iostream>

#include <stdio.h>

#pragma comment(lib, "crypt32.lib")

 

//存在数组中的明文密钥BLOB,数组格式必须如下所示:

//      BLOBHEADER hdr;

//      DWORD dwKeySize;

//      BYTE rgbKeyData[];

BYTE DesKeyBlob[] =

{

         0x08, 0x02, 0x00, 0x00, 0x01, 0x66, 0x00, 0x00, //BLOB header

         0x08, 0x00, 0x00, 0x00,      //key length, in bytes

         0xf1, 0x0e, 0x25, 0x7c, 0x6b, 0xce, 0x0d, 0x34 //DES key with parity

};

 

 

//#define ASCE_ENCODING_TYPE (PKCS_7_ASN_ENCODING | X509_ASN_ENCODING)

#define PASSWORD_LENGTH 512

 

void HandleError(TCHAR* s);

void GetConsoleInput(CHAR*, UINT);

 

int _tmain(int argc, _TCHAR* argv[])

{

         HCRYPTPROV hCryptProv = NULL;

         HCRYPTKEY hKey = NULL;

         DWORD dwBlobLen;

         BYTE* pbKeyBlob;

 

         //获得CSP句柄

         if(!CryptAcquireContext(&hCryptProv, NULL, MS_ENHANCED_PROV,

                   PROV_RSA_FULL, CRYPT_VERIFYCONTEXT))

         {

                   //如果密钥容器打不开,则创建一个新的

                   if(NTE_BAD_KEYSET == GetLastError())

                   {

                            if(!CryptAcquireContext(&hCryptProv, L"ASCEContainer",

                                     MS_ENHANCED_PROV, PROV_RSA_FULL,

                                     CRYPT_NEWKEYSET |CRYPT_VERIFYCONTEXT))

                            {

                                     printf("创建新的密钥容器出错/n");

                                     return -1;

                            }

                            else

                            {

                                     printf("打开密钥容器失败/n");

                                     return -1;

                            }

                   }

         }

 

         //导入PLAINTEXTKEYBLOB数组到密钥容器中

         if(!CryptImportKey(hCryptProv, DesKeyBlob,

                   sizeof(DesKeyBlob), 0, CRYPT_EXPORTABLE, &hKey))

         {

                   printf("导入密钥时出错/n");

                   return -1;

         }

 

         //将刚导入的密钥导出来,验证是否正确

         if(!CryptExportKey(hKey, NULL, PLAINTEXTKEYBLOB,

                   0, NULL, &dwBlobLen))

         {

                   printf("获取BLOB长度时出错/n");

                   return -1;

         }

 

         if(!(pbKeyBlob = (BYTE*)malloc(dwBlobLen)))

         {

                   printf("分配内存时出错/n");

                   return -1;

         }

 

         if(!CryptExportKey(hKey, NULL, PLAINTEXTKEYBLOB,

                   0, pbKeyBlob, &dwBlobLen))

         {

                   printf("导出密钥时出错/n");

                   return -1;

         }

 

         DWORD count;

         //打印明文BLOB以验证密钥导入是否正确

         for(count=0; count<dwBlobLen;)

         {

                   printf("%02x", pbKeyBlob[count]);

                   count++;

         }

 

         //释放资源

         if(pbKeyBlob)

         {

                   free(pbKeyBlob);

         }

 

         if(hCryptProv)

         {

                   if(!CryptReleaseContext(hCryptProv, 0))

                            HandleError(L"释放CSP句柄时出错");

         }

         printf("程序正常结束运行/n");

         system("pause");

         return 0;

}