Microsoft CryptoAPI加密技术（一）

http://www.vckbase.com/index.php/wv/716.html

在这个信息爆炸的时代，我们不得不对信息的安全提高警惕。加密作为保障数据信息安全的一种方式，越来越受到人们的关注。
下面，我将把自己对Microsoft CryptoAPI的一些肤浅的理解与大家共享，有什么不妥之处望不吝赐教。

一、加密方法：

当初，计算机的研究就是为了破解德国人的密码，人们并没有想到计算机给今天带来的信息革命。随着计算机的发展，运算能力的增强，密码学已经取得了巨大的进展。大体来说有以下几种形式。

1、公用密钥加密技术

加密和解密使用不同的密钥，分别叫做“公钥”和“私钥”。顾名思义，“私钥”就是不能让别人知道的，而“公钥”就是可以公开的。这两个必须配对使用，用公钥加密的数据必须用与其对应的私钥才能解开。这种技术安全性高，得到广泛运用，但是效率太低。

2、对称密钥加密技术

要求加密和解密过程使用相同的密钥，这样，密钥必须只能被加解密双方知道，否则就不安全。这种技术安全性不高，但是效率高。

3、结合公用和对称密钥加密技术

公钥加密技术以速度为代价换取了高安全性，而对称加密以低安全换取高性能，所以另一种常见的加密方法就是结合以上两种技术。
用对称加密算法对数据进行加密，然后使用更安全的但效率更低的公钥加密算法对对称密钥进行加密。

4、数字签名和鉴别

就是对已经加密的数据“签名”，这样接收者可以知道加密的数据的来源，以及是否被更改。

二、 CryptoAPI

微软的CryptoAPI是PKI推荐使用的加密 API。其功能是为应用程序开发者提供在Win32环境下使用加密、验证等安全服务时的标准加密接口。CryptoAPI处于应用程序和CSP（cryptographic service provider）之间（见图一）。

CryptoAPI的编程模型同Windows系统的图形设备接口 GDI比较类似，其中加密服务提供者CSP等同于图形设备驱动程序，加密硬件（可选）等同于图形硬件，其上层的应用程序也类似，都不需要同设备驱动程序和硬件直接打交道。

CryptoAPI共有五部分组成：简单消息函数（Simplified Message Functions）、低层消息函数（Low-level Message Functions）、基本加密函数（Base Cryptographic Functions）、证书编解码函数（Certificate Encode/Decode Functions）和证书库管理函数（Certificate Store Functions）。其中前三者可用于对敏感信息进行加密或签名处理，可保证网络传输信心的私有性；后两者通过对证书的使用，可保证网络信息交流中的认证性。

三、 CSP

看到这里，大家也许对CSP还比较迷惑。其实CSP是真正实行加密的独立模块，他既可以由软件实现也可以由硬件实现。但是他必须符合CryptoAPI接口的规范。

每个CSP都有一个名字和一个类型。每个CSP的名字是唯一的，这样便于CryptoAPI找到对应的CSP。目前已经有9种CSP类型，并且还在增长。下表列出出它们支持的密钥交换算法、签名算法、对称加密算法和Hash算法。

(表一)

CSP类型	交换算法	签名算法	对称加密算法	Hash算法
PROV_RSA_FULL	RSA	RSA	RC2 RC4	MD5 SHA
PROV_RSA_SIG	none	RSA	none	MD5 SHA
PROV_RSA_SCHANNEL	RSA	RSA	RC4 DES Triple DES	MD5 SHA
PROV_DSS	DSS	none	DSS	MD5 SHA
PROV_DSS_DH	DH	DSS	CYLINK_MEK	MD5 SHA
PROV_DH_SCHANNEL	DH	DSS	DES Triple DES	MD5 SHA
PROV_FORTEZZA	KEA	DSS	Skipjack	SHA
PROV_MS_EXCHANGE	RSA	RSA	CAST	MD5
PROV_SSL	RSA	RSA	Varies	Varies

从图一可以看到，每个CSP有一个密钥库，密钥库用于存储密钥。而每个密钥库包括一个或多个密钥容器（Key Containers）。每个密钥容器中含属于一个特定用户的所有密钥对。每个密钥容器被赋予一个唯一的名字。在销毁密钥容器前CSP将永久保存每一个密钥容器，包括保存每个密钥容器中的公/私钥对（见图二）。

四、创建密钥容器，得到CSP句柄

说了这么多只是一些理论性的东西，后面将详细介绍一下Microsoft CryptoAPI的使用方法。

我们已经提过，每一个CSP都有一个名字和一个类型，并且名字保证唯一。所以可以通过名字和类型得到一个CSP。然而，要想加密肯定需要密钥，那么密钥放哪里呢？对了，就放在密钥容器。（有人会问，密码库有什么用？其实密钥库是在安装CSP的时候已经存在了，他与CSP是相对应的。）但是密钥容器并不是一开始就存在的，需要用户去创建。下面的代码实现以上功能（得到CSP即密码容器）。

view source print?

01.if(CryptAcquireContext(

02.&hCryptProv, // 返回CSP句柄

03.UserName, // 密码容器名

04.NULL, // NULL时使用默认CSP名（微软RSA Base Provider）

05.PROV_RSA_FULL, // CSP类型

06.0)) // Flag values

07.{

08.//以UserName为名的密钥容器存在，那么我们已经得到了CSP的句柄

09. printf("A crypto context with the %s key container \n", UserName);

10. printf("has been acquired.\n\n");

11.}

12.else //如果密钥容器不存在，我们需要创建这个密钥容器

13.{

14. if(CryptAcquireContext(

15. &hCryptProv,

16. UserName,

17. NULL,

18. PROV_RSA_FULL,

19. CRYPT_NEWKEYSET)) //创建以UserName为名的密钥容器

20. {

21. //创建密钥容器成功，并得到CSP句柄

22. printf("A new key container has been created.\n");

23. }

24. else

25. {

26. HandleError("Could not create a new key container.\n");

27. }

28.} // End of else

好了，我们已经创建了密钥容器，并得到了CSP的句柄。也可以这样理解，我们得到了一个CSP的句柄，并且它被绑定到以UserName为名的密钥容器上。嘿嘿……

那么，以后的加解密等操作，都将在这个CSP上进行。

可以如下删除密钥容器。

CryptAcquireContext(&hCryptProv, userName, NULL, PROV_RSA_FULL, CRYPT_DELETEKEYSET);

五、一个文件加密的例子

看到这里肯定有人开始说了，“这么多废话，还不快讲怎么加密怎么解密！”您先别急，有些原理性的东西还是先了解了比较好，对以后的使用会有很大帮助。

言归正传，我们来看一段文件加密的代码。

view source print?

001.#include < stdio.h >

002.#include < windows.h >

003.#include < wincrypt.h >

004.#define MY_ENCODING_TYPE (PKCS_7_ASN_ENCODING | X509_ASN_ENCODING)

005.#define KEYLENGTH 0x00800000

006.void HandleError(char *s);

007.

008.//--------------------------------------------------------------------

009.// These additional #define statements are required.

010.#define ENCRYPT_ALGORITHM CALG_RC4

011.#define ENCRYPT_BLOCK_SIZE 8

012.

013.// Declare the function EncryptFile. The function definition

014.// follows main.

015.

016.BOOL EncryptFile(

017. PCHAR szSource,

018. PCHAR szDestination,

019. PCHAR szPassword);

020.

021.//--------------------------------------------------------------------

022.// Begin main.

023.

024.void main(void)

025.{

026. CHAR szSource[100];

027. CHAR szDestination[100];

028. CHAR szPassword[100];

029.

030.

031. printf("Encrypt a file. \n\n");

032. printf("Enter the name of the file to be encrypted: ");

033. scanf("%s",szSource);

034. printf("Enter the name of the output file: ");

035. scanf("%s",szDestination);

036. printf("Enter the password:");

037. scanf("%s",szPassword);

038.

039. //--------------------------------------------------------------------

040. // Call EncryptFile to do the actual encryption.

041.

042. if(EncryptFile(szSource, szDestination, szPassword))

043. {

044. printf("Encryption of the file %s was a success. \n", szSource);

045. printf("The encrypted data is in file %s.\n",szDestination);

046. }

047. else

048. {

049. HandleError("Error encrypting file!");

050. }

051.} // End of main

052.

053.//--------------------------------------------------------------------

054.// Code for the function EncryptFile called by main.

055.

056.static BOOL EncryptFile(

057. PCHAR szSource,

058. PCHAR szDestination,

059. PCHAR szPassword)

060. //--------------------------------------------------------------------

061. // Parameters passed are:

062. // szSource, the name of the input, a plaintext file.

063. // szDestination, the name of the output, an encrypted file to be

064. // created.

065. // szPassword, the password.

066.{

067. //--------------------------------------------------------------------

068. // Declare and initialize local variables.

069.

070. FILE *hSource;

071. FILE *hDestination;

072.

073. HCRYPTPROV hCryptProv;

074. HCRYPTKEY hKey;

075. HCRYPTHASH hHash;

076.

077. PBYTE pbBuffer;

078. DWORD dwBlockLen;

079. DWORD dwBufferLen;

080. DWORD dwCount;

081.

082. //--------------------------------------------------------------------

083. // Open source file.

084. if(hSource = fopen(szSource,"rb"))

085. {

086. printf("The source plaintext file, %s, is open. \n", szSource);

087. }

088. else

089. {

090. HandleError("Error opening source plaintext file!");

091. }

092.

093. //--------------------------------------------------------------------

094. // Open destination file.

095. if(hDestination = fopen(szDestination,"wb"))

096. {

097. printf("Destination file %s is open. \n", szDestination);

098. }

099. else

100. {

101. HandleError("Error opening destination ciphertext file!");

102. }

103.

104. //以下获得一个CSP句柄

105. if(CryptAcquireContext(

106. &hCryptProv,

107. NULL, //NULL表示使用默认密钥容器，默认密钥容器名

108.//为用户登陆名

109. NULL,

110. PROV_RSA_FULL,

111. 0))

112. {

113. printf("A cryptographic provider has been acquired. \n");

114. }

115. else

116. {

117. if(CryptAcquireContext(

118. &hCryptProv,

119. NULL,

120. NULL,

121. PROV_RSA_FULL,

122. CRYPT_NEWKEYSET))//创建密钥容器

123. {

124. //创建密钥容器成功，并得到CSP句柄

125. printf("A new key container has been created.\n");

126. }

127. else

128. {

129. HandleError("Could not create a new key container.\n");

130. }

131.

132. }

133.

134. //--------------------------------------------------------------------

135. // 创建一个会话密钥（session key）

136. // 会话密钥也叫对称密钥，用于对称加密算法。

137. // （注: 一个Session是指从调用函数CryptAcquireContext到调用函数

138. // CryptReleaseContext 期间的阶段。会话密钥只能存在于一个会话过程）

139.

140. //--------------------------------------------------------------------

141. // Create a hash object.

142. if(CryptCreateHash(

143. hCryptProv,

144. CALG_MD5,

145. 0,

146. 0,

147. &hHash))

148. {

149. printf("A hash object has been created. \n");

150. }

151. else

152. {

153. HandleError("Error during CryptCreateHash!\n");

154. }

155.

156. //--------------------------------------------------------------------

157. // 用输入的密码产生一个散列

158. if(CryptHashData(

159. hHash,

160. (BYTE *)szPassword,

161. strlen(szPassword),

162. 0))

163. {

164. printf("The password has been added to the hash. \n");

165. }

166. else

167. {

168. HandleError("Error during CryptHashData. \n");

169. }

170.

171. //--------------------------------------------------------------------

172. // 通过散列生成会话密钥

173. if(CryptDeriveKey(

174. hCryptProv,

175. ENCRYPT_ALGORITHM,

176. hHash,

177. KEYLENGTH,

178. &hKey))

179. {

180. printf("An encryption key is derived from the password hash. \n");

181. }

182. else

183. {

184. HandleError("Error during CryptDeriveKey!\n");

185. }

186. //--------------------------------------------------------------------

187. // Destroy the hash object.

188.

189. CryptDestroyHash(hHash);

190. hHash = NULL;

191.

192. //--------------------------------------------------------------------

193. // The session key is now ready.

194.

195. //--------------------------------------------------------------------

196. // 因为加密算法是按ENCRYPT_BLOCK_SIZE 大小的块加密的，所以被加密的

197.// 数据长度必须是ENCRYPT_BLOCK_SIZE 的整数倍。下面计算一次加密的

198.// 数据长度。

199.

200. dwBlockLen = 1000 - 1000 % ENCRYPT_BLOCK_SIZE;

201.

202. //--------------------------------------------------------------------

203. // Determine the block size. If a block cipher is used,

204. // it must have room for an extra block.

205.

206. if(ENCRYPT_BLOCK_SIZE > 1)

207. dwBufferLen = dwBlockLen + ENCRYPT_BLOCK_SIZE;

208. else

209. dwBufferLen = dwBlockLen;

210.

211. //--------------------------------------------------------------------

212. // Allocate memory.

213. if(pbBuffer = (BYTE *)malloc(dwBufferLen))

214. {

215. printf("Memory has been allocated for the buffer. \n");

216. }

217. else

218. {

219. HandleError("Out of memory. \n");

220. }

221. //--------------------------------------------------------------------

222. // In a do loop, encrypt the source file and write to the source file.

223.

224. do

225. {

226.

227. //--------------------------------------------------------------------

228. // Read up to dwBlockLen bytes from the source file.

229. dwCount = fread(pbBuffer, 1, dwBlockLen, hSource);

230. if(ferror(hSource))

231. {

232. HandleError("Error reading plaintext!\n");

233. }

234.

235. //--------------------------------------------------------------------

236. // 加密数据

237. if(!CryptEncrypt(

238. hKey, //密钥

239. 0, //如果数据同时进行散列和加密，这里传入一个

240.//散列对象

241. feof(hSource), //如果是最后一个被加密的块，输入TRUE.如果不是输.

242. //入FALSE这里通过判断是否到文件尾来决定是否为

243.//最后一块。

244. 0, //保留

245. pbBuffer, //输入被加密数据，输出加密后的数据

246. &dwCount, //输入被加密数据实际长度，输出加密后数据长度

247. dwBufferLen)) //pbBuffer的大小。

248. {

249. HandleError("Error during CryptEncrypt. \n");

250. }

251.

252. //--------------------------------------------------------------------

253. // Write data to the destination file.

254.

255. fwrite(pbBuffer, 1, dwCount, hDestination);

256. if(ferror(hDestination))

257. {

258. HandleError("Error writing ciphertext.");

259. }

260.

261. }

262. while(!feof(hSource));

263. //--------------------------------------------------------------------

264. // End the do loop when the last block of the source file has been

265. // read, encrypted, and written to the destination file.

266.

267. //--------------------------------------------------------------------

268. // Close files.

269.

270. if(hSource)

271. fclose(hSource);

272. if(hDestination)

273. fclose(hDestination);

274.

275. //--------------------------------------------------------------------

276. // Free memory.

277.

278. if(pbBuffer)

279. free(pbBuffer);

280.

281. //--------------------------------------------------------------------

282. // Destroy session key.

283.

284. if(hKey)

285. CryptDestroyKey(hKey);

286.

287. //--------------------------------------------------------------------

288. // Destroy hash object.

289.

290. if(hHash)

291. CryptDestroyHash(hHash);

292.

293. //--------------------------------------------------------------------

294. // Release provider handle.

295.

296. if(hCryptProv)

297. CryptReleaseContext(hCryptProv, 0);

298. return(TRUE);

299.} // End of Encryptfile

300.

301.//--------------------------------------------------------------------

302.// This example uses the function HandleError, a simple error

303.// handling function, to print an error message to the standard error

304.// (stderr) file and exit the program.

305.// For most applications, replace this function with one

306.// that does more extensive error reporting.

307.

308.void HandleError(char *s)

309.{

310. fprintf(stderr,"An error occurred in running the program. \n");

311. fprintf(stderr,"%s\n",s);

312. fprintf(stderr, "Error number %x.\n", GetLastError());

313. fprintf(stderr, "Program terminating. \n");

314. exit(1);

315.} // End of HandleError

上面的代码来自MSDN，并作了修改。注释已经很详细了，这里就不赘述了，解密与加密大同小异，大家可以自己看代码。

这次先写这么多，也许很多人觉得我写这些大家都知道，并且也太简单了。不要急慢慢来，嘿嘿：）接下来会有一些比较深入和实用的技术。

参考：

MSDN相关章节。

（注：如果代码编译不过，加入宏定义：_WIN32_WINNT=0x0400）

Microsoft CryptoAPI加密技术（一）相关推荐

Microsoft CryptoAPI加密技术
Microsoft CryptoAPI加密技术在这个信息爆炸的时代,我们不得不对信息的安全提高警惕.加密作为保障数据信息安全的一种方式,越来越受到人们的关注. 下面,我将把自己对Microsoft ...
Microsoft CryptoAPI加密技术（二）
原文:http://www.vckbase.com/index.php/wv/717.html 上次我们讲了Microsoft CryptoAPI的构成以及会话密钥的使用.接下来我们将看一下公私密钥对 ...
软件加密技术及实现(转载)
标题软件加密技术及实现选择自 whinah 的 Blog 关键字 encrypt 软件加密保护散列数字签名出处软件加密技术及实现雷鹏 ( 桂林电子工业学院计算 ...
【安全加密技术】对称加密
转载请注明出处:http://blog.csdn.net/sk719887916/article/details/46822663 上篇了解了<非对称加密>后今天我来继续了解下加密技术中 ...
苹果大战FBI将加速科技圈的加密技术发展？
苹果和 FBI 最终还是没有因为一部手机而走上法庭,但在此之前双方已经经历了多种形式的明争暗斗.回顾本次事件,我们可以概括为:FBI 想要让苹果解锁一部恐怖分子的 iPhone,但是遭到了拒绝.然后 ...
快速配置Windows 2003平台下实现 IIS（WEB）站点的安全（SSL加密技术！）
[实验名称] 快速配置Windows 2003平台下实现 IIS(WEB)站点的安全(SSL加密技术!) [实验基本概念] A. 对于公用信息--------------------www.Sohu. ...
2020-10-23（SMC加密技术）
第一篇博客,写得不好还请多多谅解. 今日收获: 今天接触了SMC加密技术,代码一般般,也就自我解密代码这块我这个初学者难以想到. 代码奉上,静态没法查看 judge里面的东西,需要jdb或者ida动态 ...
*** 隧道和加密技术知识要点
×××分为二层隧道协议和三层隧道协议一. 第二层隧道协议有PPTP L2F L2TP 主要用作远程访问×××的隧道协议第二层隧道协议建立在点对点的协议PPP的基础上的,充分利用了PPP支持 ...
[数据加密]GIS空间数据水印信息隐藏与加密技术方法[转]
到目前为止,国内外数字水印技术的研究主要集中在图像.视频和声音等多媒体信息的版权保护上,在GIS空间数据中,通过隐藏水印信息并对其加密.压缩以实现其安全保护的研究还很少,这是数字水印技术应用的一个新领 ...

Microsoft CryptoAPI加密技术（一）

Microsoft CryptoAPI加密技术（一）相关推荐

最新文章

热门文章