Microsoft CryptoAPI加密技术.docx

Microsoft CryptoAPI加密技术.docx

《Microsoft CryptoAPI加密技术.docx》由会员分享，可在线阅读，更多相关《Microsoft CryptoAPI加密技术.docx（23页珍藏版）》请在冰豆网上搜索。

MicrosoftCryptoAPI加密技术

MicrosoftCryptoAPI加密技术

作者:

Cuick

下载本文示例源代码

在这个信息爆炸的时代，我们不得不对信息的安全提高警惕。

加密作为保障数据信息安全的一种方式，越来越受到人们的关注。

下面，我将把自己对MicrosoftCryptoAPI的一些肤浅的理解与大家共享，有什么不妥之处望不吝赐教。

一、加密方法：

当初，计算机的研究就是为了破解德国人的密码，人们并没有想到计算机给今天带来的信息革命。

随着计算机的发展，运算能力的增强，密码学已经取得了巨大的进展。

大体来说有以下几种形式。

1、公用密钥加密技术

加密和解密使用不同的密钥，分别叫做“公钥”和“私钥”。

顾名思义，“私钥”就是不能让别人知道的，而“公钥”就是可以公开的。

这两个必须配对使用，用公钥加密的数据必须用与其对应的私钥才能解开。

这种技术安全性高，得到广泛运用，但是效率太低。

2、对称密钥加密技术

要求加密和解密过程使用相同的密钥，这样，密钥必须只能被加解密双方知道，否则就不安全。

这种技术安全性不高，但是效率高。

3、结合公用和对称密钥加密技术

公钥加密技术以速度为代价换取了高安全性，而对称加密以低安全换取高性能，所以另一种常见的加密方法就是结合以上两种技术。

用对称加密算法对数据进行加密，然后使用更安全的但效率更低的公钥加密算法对对称密钥进行加密。

4、数字签名和鉴别

就是对已经加密的数据“签名”，这样接收者可以知道加密的数据的来源，以及是否被更改。

二、CryptoAPI

微软的CryptoAPI是PKI推荐使用的加密API。

其功能是为应用程序开发者提供在Win32环境下使用加密、验证等安全服务时的标准加密接口。

CryptoAPI处于应用程序和CSP（cryptographicserviceprovider）之间（见图一）。

CryptoAPI的编程模型同Windows系统的图形设备接口GDI比较类似，其中加密服务提供者CSP等同于图形设备驱动程序，加密硬件（可选）等同于图形硬件，其上层的应用程序也类似，都不需要同设备驱动程序和硬件直接打交道。

CryptoAPI共有五部分组成：

简单消息函数（SimplifiedMessageFunctions）、低层消息函数（Low-levelMessageFunctions）、基本加密函数（BaseCryptographicFunctions）、证书编解码函数（CertificateEncode/DecodeFunctions）和证书库管理函数（CertificateStoreFunctions）。

其中前三者可用于对敏感信息进行加密或签名处理，可保证网络传输信心的私有性；后两者通过对证书的使用，可保证网络信息交流中的认证性。

三、CSP

看到这里，大家也许对CSP还比较迷惑。

其实CSP是真正实行加密的独立模块，他既可以由软件实现也可以由硬件实现。

但是他必须符合CryptoAPI接口的规范。

每个CSP都有一个名字和一个类型。

每个CSP的名字是唯一的，这样便于CryptoAPI找到对应的CSP。

目前已经有9种CSP类型，并且还在增长。

下表列出出它们支持的密钥交换算法、签名算法、对称加密算法和Hash算法。

（表一）

CSP类型

交换算法

签名算法

对称加密算法

Hash算法

PROV_RSA_FULL

RSA

RSA

RC2

RC4

MD5

SHA

PROV_RSA_SIG

none

RSA

none

MD5

SHA

PROV_RSA_SCHANNEL

RSA

RSA

RC4

DES

TripleDES

MD5

SHA

PROV_DSS

DSS

none

DSS

MD5

SHA

PROV_DSS_DH

DH

DSS

CYLINK_MEK

MD5

SHA

PROV_DH_SCHANNEL

DH

DSS

DES

TripleDES

MD5

SHA

PROV_FORTEZZA

KEA

DSS

Skipjack

SHA

PROV_MS_EXCHANGE

RSA

RSA

CAST

MD5

PROV_SSL

RSA

RSA

Varies

Varies

从图一可以看到，每个CSP有一个密钥库，密钥库用于存储密钥。

而每个密钥库包括一个或多个密钥容器（KeyContainers）。

每个密钥容器中含属于一个特定用户的所有密钥对。

每个密钥容器被赋予一个唯一的名字。

在销毁密钥容器前CSP将永久保存每一个密钥容器，包括保存每个密钥容器中的公/私钥对（见图二）。

四、创建密钥容器，得到CSP句柄

说了这么多只是一些理论性的东西，后面将详细介绍一下MicrosoftCryptoAPI的使用方法。

我们已经提过，每一个CSP都有一个名字和一个类型，并且名字保证唯一。

所以可以通过名字和类型得到一个CSP。

然而，要想加密肯定需要密钥，那么密钥放哪里呢？

对了，就放在密钥容器。

（有人会问，密码库有什么用？

其实密钥库是在安装CSP的时候已经存在了，他与CSP是相对应的。

）但是密钥容器并不是一开始就存在的，需要用户去创建。

下面的代码实现以上功能（得到CSP即密码容器）。

if（CryptAcquireContext（

&hCryptProv,//返回CSP句柄

UserName,//密码容器名

NULL,//NULL时使用默认CSP名（微软RSABaseProvider）

PROV_RSA_FULL,//CSP类型

0））//Flagvalues

{

//以UserName为名的密钥容器存在，那么我们已经得到了CSP的句柄

printf（"Acryptocontextwiththe%skeycontainer\n",UserName）;

printf（"hasbeenacquired.\n\n"）;

}

else//如果密钥容器不存在，我们需要创建这个密钥容器

{

if（CryptAcquireContext（

&hCryptProv,

UserName,

NULL,

PROV_RSA_FULL,

CRYPT_NEWKEYSET））//创建以UserName为名的密钥容器

{

//创建密钥容器成功，并得到CSP句柄

printf（"Anewkeycontainerhasbeencreated.\n"）;

}

else

{

HandleError（"Couldnotcreateanewkeycontainer.\n"）;

}

}//Endofelse

好了，我们已经创建了密钥容器，并得到了CSP的句柄。

也可以这样理解，我们得到了一个CSP的句柄，并且它被绑定到以UserName为名的密钥容器上。

嘿嘿……

那么，以后的加解密等操作，都将在这个CSP上进行。

可以如下删除密钥容器。

CryptAcquireContext（&hCryptProv,userName,NULL,PROV_RSA_FULL,CRYPT_DELETEKEYSET）;

五、一个文件加密的例子

看到这里肯定有人开始说了，“这么多废话，还不快讲怎么加密怎么解密！

”您先别急，有些原理性的东西还是先了解了比较好，对以后的使用会有很大帮助。

言归正传，我们来看一段文件加密的代码。

#include

#include

#include

#defineMY_ENCODING_TYPE（PKCS_7_ASN_ENCODING|X509_ASN_ENCODING）

#defineKEYLENGTH0x00800000

voidHandleError（char*s）;

//--------------------------------------------------------------------

//Theseadditional#definestatementsarerequired.

#defineENCRYPT_ALGORITHMCALG_RC4

#defineENCRYPT_BLOCK_SIZE8

//DeclarethefunctionEncryptFile.Thefunctiondefinition

//followsmain.

BOOLEncryptFile（

PCHARszSource,

PCHARszDestination,

PCHARszPassword）;

//--------------------------------------------------------------------

//Beginmain.

voidmain（void）

{

CHARszSource[100];

CHARszDestination[100];

CHARszPassword[100];

printf（"Encryptafile.\n\n"）;

printf（"Enterthenameofthefiletobeencrypted:

"）;

scanf（"%s",szSource）;

printf（"Enterthenameoftheoutputfile:

"）;

scanf（"%s",szDestination）;

printf（"Enterthepassword:

"）;

scanf（"%s",szPassword）;

//--------------------------------------------------------------------

//CallEncryptFiletodotheactualencryption.

if（EncryptFile（szSource,szDestination,szPassword））

{

printf（"Encryptionofthefile%swasasuccess.\n",szSource）;

printf（"Theencrypteddataisinfile%s.\n",szDestination）;

}

else

{

HandleError（"Errorencryptingfile!

"）;

}

}//Endofmain

//--------------------------------------------------------------------

//CodeforthefunctionEncryptFilecalledbymain.

staticBOOLEncryptFile（

PCHARszSource,

PCHARszDestination,

PCHARszPassword）

//--------------------------------------------------------------------

//Parameterspassedare:

//szSource,thenameoftheinput,aplaintextfile.

//szDestination,thenameoftheoutput,anencryptedfiletobe

//created.

//szPassword,thepassword.

{

//--------------------------------------------------------------------

//Declareandinitializelocalvariables.

FILE*hSource;

FILE*hDestination;

HCRYPTPROVhCryptProv;

HCRYPTKEYhKey;

HCRYPTHASHhHash;

PBYTEpbBuffer;

DWORDdwBlockLen;

DWORDdwBufferLen;

DWORDdwCount;

//--------------------------------------------------------------------

//Opensourcefile.

if（hSource=fopen（szSource,"rb"））

{

printf（"Thesourceplaintextfile,%s,isopen.\n",szSource）;

}

else

{

HandleError（"Erroropeningsourceplaintextfile!

"）;

}

//--------------------------------------------------------------------

//Opendestinationfile.

if（hDestination=fopen（szDestination,"wb"））

{

printf（"Destinationfile%sisopen.\n",szDestination）;

}

else

{

HandleError（"Erroropeningdestinationciphertextfile!

"）;

}

//以下获得一个CSP句柄

if（CryptAcquireContext（

&hCryptProv,

NULL,//NULL表示使用默认密钥容器，默认密钥容器名

//为用户登陆名

NULL,

PROV_RSA_FULL,

0））

{

printf（"Acryptographicproviderhasbeenacquired.\n"）;

}

else

{

if（CryptAcquireContext（

&hCryptProv,

NULL,

NULL,

PROV_RSA_FULL,

CRYPT_NEWKEYSET））//创建密钥容器

{

//创建密钥容器成功，并得到CSP句柄

printf（"Anewkeycontainerhasbeencreated.\n"）;

}

else

{

HandleError（"Couldnotcreateanewkeycontainer.\n"）;

}

}

//--------------------------------------------------------------------

//创建一个会话密钥（sessionkey）

//会话密钥也叫对称密钥，用于对称加密算法。

//（注:

一个Session是指从调用函数CryptAcquireContext到调用函数

//CryptReleaseContext期间的阶段。

会话密钥只能存在于一个会话过程）

//--------------------------------------------------------------------

//Createahashobject.

if（CryptCreateHash（

hCryptProv,

CALG_MD5,

0,

0,

&hHash））

{

printf（"Ahashobjecthasbeencreated.\n"）;

}

else

{

HandleError（"ErrorduringCryptCreateHash!

\n"）;

}

//--------------------------------------------------------------------

//用输入的密码产生一个散列

if（CryptHashData（

hHash,

（BYTE*）szPassword,

strlen（szPassword）,

0））

{

printf（"Thepasswordhasbeenaddedtothehash.\n"）;

}

else

{

HandleError（"ErrorduringCryptHashData.\n"）;

}

//--------------------------------------------------------------------

//通过散列生成会话密钥

if（CryptDeriveKey（

hCryptProv,

ENCRYPT_ALGORITHM,

hHash,

KEYLENGTH,

&hKey））

{

printf（"Anencryptionkeyisderivedfromthepasswordhash.\n"）;

}

else

{

HandleError（"ErrorduringCryptDeriveKey!

\n"）;

}

//--------------------------------------------------------------------

//Destroythehashobject.

CryptDestroyHash（hHash）;

hHash=NULL;

//--------------------------------------------------------------------

//Thesessionkeyisnowready.

//--------------------------------------------------------------------

//因为加密算法是按ENCRYPT_BLOCK_SIZE大小的块加密的，所以被加密的

//数据长度必须是ENCRYPT_BLOCK_SIZE的整数倍。

下面计算一次加密的

//数据长度。

dwBlockLen=1000-1000%ENCRYPT_BLOCK_SIZE;

//--------------------------------------------------------------------

//Determinetheblocksize.Ifablockcipherisused,

//itmusthaveroomforanextrablock.

if（ENCRYPT_BLOCK_SIZE>1）

dwBufferLen=dwBlockLen+ENCRYPT_BLOCK_SIZE;

else

dwBufferLen=dwBlockLen;

//--------------------------------------------------------------------

//Allocatememory.

if（pbBuffer=（BYTE*）malloc（dwBufferLen））

{

printf（"Memoryhasbeenallocatedforthebuffer.\n"）;

}

else

{

HandleError（"Outofmemory.\n"）;

}

//--------------------------------------------------------------------

//Inadoloop,encryptthesourcefileandwritetothesourcefile.

do

{

//--------------------------------------------------------

//ReaduptodwBlockLenbytesfromthesourcefile.

dwCount=fread（pbBuffer,1,dwBlockLen,hSource）;

if（ferror（hSource））

{

HandleError（"Errorreadingplaintext!

\n"）;

}

//------------------------------------------

//加密数据

if（!

CryptEncrypt（

hKey,//密钥

0,//如果数据同时进行散列和加密，这里传入一个

//散列对象

feof（hSource）,//如果是最后一个被加密的块，输入TRUE.如果不是输.

//入FALSE这里通过判断是否到文件尾来决定是否为

//最后一块。

0,//保留

pbBuffer,//输入被加密数据，输出加密后的数据

&dwCount,//输入被加密数据实际长度，输出加密后数据长度

dwBufferLen））//pbBuffer的大小。

{

HandleError（"ErrorduringCryptEncrypt.\n"）;

}

//-------------------------------------------------

//Writedatatothedestinationfile.

fwrite（pbBuffer,1,dwCount,hDestination）;

if（ferror（hDestination））

{

HandleError（"Errorwritingciphertext."）;

}

}

while（!

feof（hSource））;

//------------------

//Endthedoloopwhenthelastblockofthesourcefilehasbeen

//read,encrypted,andwrittentothedestinationfile.

//--------------------------------------------------------

//Closefiles.

if（hSource）

fclose（hSource）;

if（hDestination）

fclose（hDestination）;

//----------------------------------------------------

//Freememory.

if（pbBuffer）

free（pbBuffer）;

//------------------------------------------------------

//Destroysessionkey.

if（hKey）

CryptDestr