《ASCE1885的信息安全》のCryptoAPI---密钥的产生和交换函数

在公开密码算法的前提下，数据的安全取决于密钥。因此，密钥的产生、销毁、交换（分发）是数据保密工作中的重要部分。

CryptoAPI密钥产生和交换函数主要有生成密钥函数CryptGenKey、派生密钥函数CryptDeriveKey、销毁密钥函数CryptDestroyKey、复制密钥函数CryptDuplicateKey、导出密钥函数CryptExportKey、导入密钥函数CryptImportKey、获得密钥参数函数CryptGetKeyParam、设置密钥参数函数CryptSetKeyParam、产生随机函数CryptGenRandom、

一、生成函数CryptGenKey：

功能：产生一个随机的对称或非对称算法的密钥；

原型：

BOOL WINAPI CryptGenKey(

__in   HCRYPTPROV hProv,         //CSP句柄指针

__in   ALG_ID Algid,       //密码算法标识

__in   DWORD dwFlags,        //标志位，指定生成密钥的参数，

//如对称密钥的长度,RSA密钥的长度

__out  HCRYPTKEY *phKey  //新产生的密钥的句柄

);

其中，Algid参数取值如下：

CALG_HMAC---HMAC带密钥的摘要算法；

CALG_MD2---MD2摘要算法；

CALG_MD4---MD4摘要算法；

CALG_MD5---MD5摘要算法；

CALG_SHA---SHA摘要算法；

CALG_SHA1---SHA1摘要算法；

CALG_MAC---MAC算法；

CALG_SSL3_SHAMD5---SSLV3客户端算法；

CALG_RSA_SIGN---RSA签名算法；

CALG_DSS_SIGN---DSS签名算法；

CALG_RSA_KEYX---RSA加密算法；

CALG_DES---DES---对称加密算法；

CALG_3DES_112---112位的3DES加密算法；

CALG_3DES---3DES加密算法；

CALG_RC2---RC2分组算法；

CALG_RC4---RC4流加密算法。

返回值：操作成功返回TRUE，否则返回FALSE，使用GetLastError获取更多信息。

二、派生密钥函数CryptDeriveKey：

功能：根据基础数据派生以对称密钥（会话密钥）；

原型：

BOOL WINAPI CryptDeriveKey(

__in     HCRYPTPROV hProv,     //CSP句柄指针

__in     ALG_ID Algid,  //密码算法标识

__in     HCRYPTHASH hBaseData,     //基础数据的摘要句柄

__in     DWORD dwFlags,   //标志位

__inout  HCRYPTKEY *phKey        //新产生的会话密钥句柄

);

此函数和CryptGenKey函数相似，不同的是CryptGenKey是通过随机数产生的，而CryptDeriveKey是通过指定的数据产生的。CryptDeriveKey只能产生对称算法的会话密钥，不能产生非对称算法的公/私钥。

返回值：操作成功返回TRUE，否则返回FALSE，使用GetLastError获取更多信息。

三、销毁密钥函数CryptDestroyKey：

功能：销毁密钥；

原型：

BOOL WINAPI CryptDestroyKey(

__in  HCRYPTKEY hKey //密钥句柄

);

返回值：操作成功返回TRUE，否则返回FALSE，使用GetLastError()获取更多信息。

下面的示例由一个密码产生会话密钥：

#include <windows.h>

#include <wincrypt.h>

#include <iostream>

#include <string.h>

#include <conio.h>

#include <stdio.h>

#pragma comment(lib, "crypt32.lib")

#define PASSWORD_LENGTH 512

void HandleError(TCHAR* s);

void GetConsoleInput(CHAR*, UINT);

int _tmain(int argc, _TCHAR* argv[])

{

HCRYPTPROV hCryptProv;

HCRYPTKEY hKey;

HCRYPTHASH hHash;

CHAR szPassword[PASSWORD_LENGTH] = "";

DWORD dwLength;

fprintf(stderr, "请输入用于产生会话密钥的密码：");

//获得用户输入密码，控制台上显示的是*号

GetConsoleInput(szPassword, PASSWORD_LENGTH);

printf("密码已保存/n");

dwLength = (DWORD)strlen(szPassword);

//获得CSP句柄

if(!CryptAcquireContext(&hCryptProv, NULL, NULL,

PROV_RSA_FULL, 0))

{

HandleError(L"获取CSP句柄时出错");

}

//创建一个空的哈希对象

if(!CryptCreateHash(hCryptProv, CALG_MD5, 0, 0, &hHash))

{

HandleError(L"创建空的哈希对象时出错");

}

//对密码进行哈希

if(!CryptHashData(hHash, (BYTE*)szPassword, dwLength, 0))

{

HandleError(L"对密码进行哈希时出错");

}

//由密码的哈希值创建会话密钥

if(!CryptDeriveKey(hCryptProv, CALG_RC2, hHash,

CRYPT_EXPORTABLE, &hKey))

{

HandleError(L"由密码的哈希值创建会话密钥时出错");

}

//这里使用上面得到的会话密钥进行加解密等操作，略...

//释放资源

if(hHash)

{

if(!CryptDestroyHash(hHash))

HandleError(L"销毁哈希对象时出错");

}

if(hKey)

{

if(!CryptDestroyKey(hKey))

HandleError(L"销毁会话密钥时出错");

}

if(hCryptProv)

{

if(!CryptReleaseContext(hCryptProv, 0))

HandleError(L"释放CSP句柄时出错");

}

printf("程序正常结束运行/n");

system("pause");

return 0;

}

void HandleError(TCHAR* s)

{

_tprintf(TEXT("程序运行出现错误./n"));

_tprintf(TEXT("%s/n"),s);

_tprintf(TEXT("错误代码%x/n."), GetLastError());

_tprintf(TEXT("程序终止./n"));

exit(1);

}

//从键盘获取字符串输入，并控制台上*号显示

void GetConsoleInput(char* strInput, UINT intMaxChars)

{

char ch;

char minChar = ' ';

minChar++;

ch = _getch();

while(ch != '/r')

{

if(ch == '/b' && strlen(strInput) > 0)

{

strInput[strlen(strInput)-1] = '/0';

printf("/b /b");

}

else if((ch >= minChar) && (strlen(strInput) < intMaxChars))

{

strInput[strlen(strInput)+1] = '/0';

strInput[strlen(strInput)] = ch;

_putch('*');

}

ch = _getch();

}

_putch('/n');

}

四、复制密钥函数CryptDuplicateKey：

功能：复制一个密钥，产生一个密钥的拷贝，包括其状态；

原型：

BOOL WINAPI CryptDuplicateKey(

__in   HCRYPTKEY hKey,       //密钥句柄

__in   DWORD *pdwReserved,   //保留参数，必须为NULL

__in   DWORD dwFlags,        //保留参数，必须为0

__out  HCRYPTKEY *phKey  //复制后的密钥句柄

);

返回值：操作成功返回TRUE，否则返回FALSE，使用GetLastError()获取更多信息。

五、获得密钥参数函数CryptGetKeyParam：

功能：获得key句柄的各项参数；

原型：

BOOL WINAPI CryptGetKeyParam(

__in     HCRYPTKEY hKey,  //密钥句柄

__in     DWORD dwParam,         //参数类型

__out    BYTE *pbData,          //接收key参数数据缓冲区指针

__inout  DWORD *pdwDataLen,          //输出的数据长度

__in     DWORD dwFlags    //保留参数，必须为0

);

其中，对于所有的key，dwParam可取值如下：

KP_ALGID---算法ID；

KP_BLOCKLEN---如果hKey为会话密钥，则此参数获得对称算法分组长度（单位为比特）；

如果hKey为非对称密钥，则此参数获得密钥对加密强度（单位为比特，如1024bits RSA）

KP_KEYLEN---密钥长度；

KP_SALT---salt值，不使用于非对称密钥对；

对于对称密钥或者会话密钥，dwParam还可取值如下：

KP_IV---初始化向量；

KP_PADDING---补位的方式；

KP_MODE---加密模式（CBC、ECB等）。

返回值：操作成功返回TRUE，否则返回FALSE，调用GetLastError()获得更多信息。

六、获得密钥参数函数CryptSetKeyParam：

功能：设置key句柄的各项参数；

原型：

BOOL WINAPI CryptSetKeyParam(

__in  HCRYPTKEY hKey,         //密钥句柄

__in  DWORD dwParam,       //参数类型

__in  const BYTE *pbData,      //参数数据缓冲区指针

__in  DWORD dwFlags  //只用于dwParam为KP_ALGID时

);

其中dwParam可取值如下：

KP_ALGID---算法ID；

KP_SALT---salt值，不适用于非对称密钥对；

KP_IV---初始化向量；

KP_PADDING---补位的方式；

KP_MODE---加密模式（CBC，ECB等）；

KP_CERTIFICATE---设置数字证书，对于RSA密钥，设置与其对应的数字证书；pbData即为DER编码的X509证书指针；

KP_KEYEXCHANGE_PIN---设置操作该交换密钥的口令；

KP_SIGNATRUE_PIN---设置操作该签名密钥的口令。

返回值：操作成功返回TRUE，否则返回FALSE，调用GetLastError()获得更多信息。

七、获得随机数函数CryptGenRandom：

功能：生成随机数；

原型：

BOOL WINAPI CryptGenRandom(

__in     HCRYPTPROV hProv,     //CSP句柄

__in     DWORD dwLen,      //生成随机数的长度

__inout  BYTE *pbBuffer         //接收随机数缓冲区的指针

);

返回值：操作成功返回TRUE，否则返回FALSE，调用GetLastError()获得更多信息。

下面代码示例演示了复制一个会话密钥的过程：

#include <windows.h>

#include <wincrypt.h>

#include <iostream>

#include <string.h>

#include <conio.h>

#include <stdio.h>

#pragma comment(lib, "crypt32.lib")

//#define ASCE_ENCODING_TYPE (PKCS_7_ASN_ENCODING | X509_ASN_ENCODING)

#define PASSWORD_LENGTH 512

void HandleError(TCHAR* s);

void GetConsoleInput(CHAR*, UINT);

int _tmain(int argc, _TCHAR* argv[])

{

HCRYPTPROV hCryptProv;

HCRYPTKEY hOriginalKey;

HCRYPTKEY hDuplicateKey;

DWORD dwMode;

BYTE pbData[16];

printf("本程序创建一个会话密钥，并复制它，同时添加参数到原会话密钥中/n");

if(!CryptAcquireContext(&hCryptProv, NULL, NULL,

PROV_RSA_FULL, 0))

{

HandleError("创建CSP句柄时出错");

}

//生成一个会话密钥

if(!CryptGenKey(hCryptProv, CALG_RC4, 0, &hOriginalKey))

{

HandleError("生成会话密钥时出错");

}

//复制会话密钥

if(!CryptDuplicateKey(hOriginalKey, NULL, 0, &hDuplicateKey))

{

HandleError("复制会话密钥时出错");

}

//给原会话密钥设置参数

dwMode = CRYPT_MODE_ECB;

if(!CryptSetKeyParam(hOriginalKey, KP_MODE,

(BYTE*)&dwMode, 0))

{

HandleError("给原会话密钥设置参数时出错");

}

//生成一个随机初始化向量

if(!CryptGenRandom(hCryptProv, 8, pbData))

{

HandleError("生成一个随机初始化向量时出错");

}

//给原会话密钥设置初始化向量

if(!CryptSetKeyParam(hOriginalKey, KP_IV, pbData, 0))

{

HandleError("给原会话密钥设置初始化向量时出错");

}

//释放资源

if(hOriginalKey)

{

if(!CryptDestroyKey(hOriginalKey))

HandleError(L"销毁原会话密钥时出错");

}

if(hDuplicateKey)

{

if(!CryptDestroyKey(hDuplicateKey))

HandleError(L"销毁复制会话密钥时出错");

}

if(hCryptProv)

{

if(!CryptReleaseContext(hCryptProv, 0))

HandleError(L"释放CSP句柄时出错");

}

printf("程序正常结束运行/n");

system("pause");

return 0;

}

void HandleError(TCHAR* s)

{

_tprintf(TEXT("程序运行出现错误./n"));

_tprintf(TEXT("%s/n"),s);

_tprintf(TEXT("错误代码%x/n."), GetLastError());

_tprintf(TEXT("程序终止./n"));

exit(1);

}

八、导出密钥函数CryptExportKey：

功能：从CSP导出密钥或密钥对；

原型：

BOOL WINAPI CryptExportKey(

__in     HCRYPTKEY hKey,  //要导出的密钥句柄

__in     HCRYPTKEY hExpKey, //目标用户的加密密钥，用于加密要导出的数

__in     DWORD dwBlobType,   //pbData中的数据类型

__in     DWORD dwFlags,   //标志位

__out    BYTE *pbData,          //接收导出密钥数据块的缓冲区指针

__inout  DWORD *pdwDataLen  //pbData字节大小

);

返回值：操作成功返回TRUE，否则返回FALSE，调用GetLastError()获得更多信息。

九、导入密钥函数CryptImportKey：

功能：把BLOB数据导入CSP，该函数可导入会话密钥、公钥、或者公私钥对。

原型：

BOOL WINAPI CryptImportKey(

__in   HCRYPTPROV hProv,         //CSP句柄

__in   BYTE *pbData,      //BLOB数据

__in   DWORD dwDataLen, //BLOB数据长度

__in   HCRYPTKEY hPubKey,        //此参数的意义根据CSP类型以及导入的BLOB数据的类型不同而不同：如果BLOB数据是由交换密钥加密的，该参数就是交换密钥的句柄

如果BLOB数据是由会话密钥加密的，该参数就是会话密钥的句柄

如果BLOB数据没有被加密，则该参数为NULL

__in   DWORD dwFlags,        //标志位

__out  HCRYPTKEY *phKey  //导入密钥的句柄

);

返回值：操作成功返回TRUE，否则返回FALSE，调用GetLastError()获得更多信息。

下面代码演示了密钥的导入和导出操作：

#include <windows.h>

#include <wincrypt.h>

#include <iostream>

#include <stdio.h>

#pragma comment(lib, "crypt32.lib")

//存在数组中的明文密钥BLOB，数组格式必须如下所示：

//      BLOBHEADER hdr;

//      DWORD dwKeySize;

//      BYTE rgbKeyData[];

BYTE DesKeyBlob[] =

{

0x08, 0x02, 0x00, 0x00, 0x01, 0x66, 0x00, 0x00, //BLOB header

0x08, 0x00, 0x00, 0x00,      //key length, in bytes

0xf1, 0x0e, 0x25, 0x7c, 0x6b, 0xce, 0x0d, 0x34 //DES key with parity

};

//#define ASCE_ENCODING_TYPE (PKCS_7_ASN_ENCODING | X509_ASN_ENCODING)

#define PASSWORD_LENGTH 512

void HandleError(TCHAR* s);

void GetConsoleInput(CHAR*, UINT);

int _tmain(int argc, _TCHAR* argv[])

{

HCRYPTPROV hCryptProv = NULL;

HCRYPTKEY hKey = NULL;

DWORD dwBlobLen;

BYTE* pbKeyBlob;

//获得CSP句柄

if(!CryptAcquireContext(&hCryptProv, NULL, MS_ENHANCED_PROV,

PROV_RSA_FULL, CRYPT_VERIFYCONTEXT))

{

//如果密钥容器打不开，则创建一个新的

if(NTE_BAD_KEYSET == GetLastError())

{

if(!CryptAcquireContext(&hCryptProv, L"ASCEContainer",

MS_ENHANCED_PROV, PROV_RSA_FULL,

CRYPT_NEWKEYSET |CRYPT_VERIFYCONTEXT))

{

printf("创建新的密钥容器出错/n");

return -1;

}

else

{

printf("打开密钥容器失败/n");

return -1;

}

}

}

//导入PLAINTEXTKEYBLOB数组到密钥容器中

if(!CryptImportKey(hCryptProv, DesKeyBlob,

sizeof(DesKeyBlob), 0, CRYPT_EXPORTABLE, &hKey))

{

printf("导入密钥时出错/n");

return -1;

}

//将刚导入的密钥导出来，验证是否正确

if(!CryptExportKey(hKey, NULL, PLAINTEXTKEYBLOB,

0, NULL, &dwBlobLen))

{

printf("获取BLOB长度时出错/n");

return -1;

}

if(!(pbKeyBlob = (BYTE*)malloc(dwBlobLen)))

{

printf("分配内存时出错/n");

return -1;

}

if(!CryptExportKey(hKey, NULL, PLAINTEXTKEYBLOB,

0, pbKeyBlob, &dwBlobLen))

{

printf("导出密钥时出错/n");

return -1;

}

DWORD count;

//打印明文BLOB以验证密钥导入是否正确

for(count=0; count<dwBlobLen;)

{

printf("%02x", pbKeyBlob[count]);

count++;

}

//释放资源

if(pbKeyBlob)

{

free(pbKeyBlob);

}

if(hCryptProv)

{

if(!CryptReleaseContext(hCryptProv, 0))

HandleError(L"释放CSP句柄时出错");

}

printf("程序正常结束运行/n");

system("pause");

return 0;

}