1、Microsoft CryptoAPI加密技术Microsoft CryptoAPI加密技术作者:Cuick下载本文示例源代码在这个信息爆炸的时代,我们不得不对信息的安全提高警惕。加密作为保障数据信息安全的一种方式,越来越受到人们的关注。下面,我将把自己对Microsoft CryptoAPI的一些肤浅的理解与大家共享,有什么不妥之处望不吝赐教。一、 加密方法:当初,计算机的研究就是为了破解德国人的密码,人们并没有想到计算机给今天带来的信息革命。随着计算机的发展,运算能力的增强,密码学已经取得了巨大的进展。大体来说有以下几种形式。1、 公用密钥加密技术加密和解密使用不同的密钥,分别叫做“公钥”
2、和“私钥”。顾名思义,“私钥”就是不能让别人知道的,而“公钥”就是可以公开的。这两个必须配对使用,用公钥加密的数据必须用与其对应的私钥才能解开。这种技术安全性高,得到广泛运用,但是效率太低。2、 对称密钥加密技术要求加密和解密过程使用相同的密钥,这样,密钥必须只能被加解密双方知道,否则就不安全。这种技术安全性不高,但是效率高。3、 结合公用和对称密钥加密技术公钥加密技术以速度为代价换取了高安全性,而对称加密以低安全换取高性能,所以另一种常见的加密方法就是结合以上两种技术。用对称加密算法对数据进行加密,然后使用更安全的但效率更低的公钥加密算法对对称密钥进行加密。4、 数字签名和鉴别就是对已经加密
3、的数据“签名”,这样接收者可以知道加密的数据的来源,以及是否被更改。二、 CryptoAPI微软的CryptoAPI是PKI推荐使用的加密 API。其功能是为应用程序开发者提供在Win32环境下使用加密、验证等安全服务时的标准加密接口。CryptoAPI处于应用程序和CSP(cryptographic service provider)之间(见图一)。CryptoAPI的编程模型同Windows系统的图形设备接口 GDI比较类似,其中加密服务提供者CSP等同于图形设备驱动程序 ,加密硬件(可选)等同于图形硬件,其上层的应用程序也类似,都不需要同设备驱动程序和硬件直接打交道。CryptoAPI共
4、有五部分组成:简单消息函数(Simplified Message Functions)、低层消息函数(Low-level Message Functions)、基本加密函数(Base Cryptographic Functions)、证书编解码函数(Certificate Encode/Decode Functions)和证书库管理函数(Certificate Store Functions)。其中前三者可用于对敏感信息进行加密或签名处理,可保证网络传输信心的私有性;后两者通过对证书的使用,可保证网络信息交流中的认证性。三、 CSP看到这里,大家也许对CSP还比较迷惑。其实CSP是真正实行加密
5、的独立模块,他既可以由软件实现也可以由硬件实现。但是他必须符合CryptoAPI接口的规范。每个CSP都有一个名字和一个类型。每个CSP的名字是唯一的,这样便于CryptoAPI找到对应的CSP。目前已经有9种CSP类型,并且还在增长。下表列出出它们支持的密钥交换算法、签名算法、对称加密算法和Hash算法。(表一) CSP类型交换算法签名算法对称加密算法Hash算法PROV_RSA_FULLRSARSARC2RC4MD5SHAPROV_RSA_SIGnoneRSAnoneMD5SHAPROV_RSA_SCHANNELRSARSARC4DESTriple DESMD5SHAPROV_DSSDSS
6、noneDSSMD5SHAPROV_DSS_DHDHDSSCYLINK_MEKMD5SHAPROV_DH_SCHANNELDHDSSDESTriple DESMD5SHAPROV_FORTEZZAKEADSSSkipjackSHAPROV_MS_EXCHANGERSARSACASTMD5PROV_SSLRSARSAVariesVaries从图一可以看到,每个CSP有一个密钥库,密钥库用于存储密钥。而每个密钥库包括一个或多个密钥容器(Key Containers)。每个密钥容器中含属于一个特定用户的所有密钥对。每个密钥容器被赋予一个唯一的名字。在销毁密钥容器前CSP将永久保存每一个密钥容器,包括
7、保存每个密钥容器中的公/私钥对(见图二)。 四、 创建密钥容器,得到CSP句柄说了这么多只是一些理论性的东西,后面将详细介绍一下Microsoft CryptoAPI的使用方法。我们已经提过,每一个CSP都有一个名字和一个类型,并且名字保证唯一。所以可以通过名字和类型得到一个CSP。然而,要想加密肯定需要密钥,那么密钥放哪里呢?对了,就放在密钥容器。(有人会问,密码库有什么用?其实密钥库是在安装CSP的时候已经存在了,他与CSP是相对应的。)但是密钥容器并不是一开始就存在的,需要用户去创建。下面的代码实现以上功能(得到CSP即密码容器)。 if(CryptAcquireContext(&hCr
8、yptProv, / 返回CSP句柄UserName, / 密码容器名NULL, / NULL时使用默认CSP名(微软RSA Base Provider)PROV_RSA_FULL, / CSP类型0) / Flag values/以UserName为名的密钥容器存在,那么我们已经得到了CSP的句柄 printf(A crypto context with the %s key container n, UserName); printf(has been acquired.nn);else /如果密钥容器不存在,我们需要创建这个密钥容器 if(CryptAcquireContext( &hC
9、ryptProv, UserName, NULL, PROV_RSA_FULL, CRYPT_NEWKEYSET) /创建以UserName为名的密钥容器 /创建密钥容器成功,并得到CSP句柄 printf(A new key container has been created.n); else HandleError(Could not create a new key container.n); / End of else好了,我们已经创建了密钥容器,并得到了CSP的句柄。也可以这样理解,我们得到了一个CSP的句柄,并且它被绑定到以UserName为名的密钥容器上。嘿嘿那么,以后的加解密
10、等操作,都将在这个CSP上进行。可以如下删除密钥容器。CryptAcquireContext(&hCryptProv, userName, NULL, PROV_RSA_FULL, CRYPT_DELETEKEYSET); 五、 一个文件加密的例子看到这里肯定有人开始说了,“这么多废话,还不快讲怎么加密怎么解密!”您先别急,有些原理性的东西还是先了解了比较好,对以后的使用会有很大帮助。言归正传,我们来看一段文件加密的代码。#include #include #include #define MY_ENCODING_TYPE (PKCS_7_ASN_ENCODING | X509_ASN_ENC
11、ODING)#define KEYLENGTH 0x00800000void HandleError(char *s);/-/ These additional #define statements are required.#define ENCRYPT_ALGORITHM CALG_RC4 #define ENCRYPT_BLOCK_SIZE 8 / Declare the function EncryptFile. The function definition/ follows main.BOOL EncryptFile( PCHAR szSource, PCHAR szDestina
12、tion, PCHAR szPassword); /-/ Begin main.void main(void) CHAR szSource100; CHAR szDestination100; CHAR szPassword100; printf(Encrypt a file. nn);printf(Enter the name of the file to be encrypted: );scanf(%s,szSource);printf(Enter the name of the output file: );scanf(%s,szDestination);printf(Enter the
13、 password:);scanf(%s,szPassword);/-/ Call EncryptFile to do the actual encryption.if(EncryptFile(szSource, szDestination, szPassword)printf(Encryption of the file %s was a success. n, szSource);printf(The encrypted data is in file %s.n,szDestination);elseHandleError(Error encrypting file!); / End of
14、 main/-/ Code for the function EncryptFile called by main.static BOOL EncryptFile(PCHAR szSource, PCHAR szDestination, PCHAR szPassword)/-/ Parameters passed are:/ szSource, the name of the input, a plaintext file./ szDestination, the name of the output, an encrypted file to be / created./ szPasswor
15、d, the password. /-/ Declare and initialize local variables.FILE *hSource; FILE *hDestination; HCRYPTPROV hCryptProv; HCRYPTKEY hKey; HCRYPTHASH hHash; PBYTE pbBuffer; DWORD dwBlockLen; DWORD dwBufferLen; DWORD dwCount; /-/ Open source file. if(hSource = fopen(szSource,rb)printf(The source plaintext
16、 file, %s, is open. n, szSource);else HandleError(Error opening source plaintext file!); /-/ Open destination file. if(hDestination = fopen(szDestination,wb)printf(Destination file %s is open. n, szDestination);elseHandleError(Error opening destination ciphertext file!); /以下获得一个CSP句柄if(CryptAcquireC
17、ontext(&hCryptProv, NULL,/NULL表示使用默认密钥容器,默认密钥容器名/为用户登陆名NULL, PROV_RSA_FULL, 0)printf(A cryptographic provider has been acquired. n);elseif(CryptAcquireContext(&hCryptProv, NULL, NULL, PROV_RSA_FULL, CRYPT_NEWKEYSET)/创建密钥容器/创建密钥容器成功,并得到CSP句柄printf(A new key container has been created.n);elseHandleErr
18、or(Could not create a new key container.n);/-/ 创建一个会话密钥(session key)/ 会话密钥也叫对称密钥,用于对称加密算法。/ (注: 一个Session是指从调用函数CryptAcquireContext到调用函数/ CryptReleaseContext 期间的阶段。会话密钥只能存在于一个会话过程)/-/ Create a hash object. if(CryptCreateHash(hCryptProv, CALG_MD5, 0, 0, &hHash) printf(A hash object has been created.
19、n); else HandleError(Error during CryptCreateHash!n); /-/ 用输入的密码产生一个散列if(CryptHashData(hHash, (BYTE *)szPassword, strlen(szPassword), 0)printf(The password has been added to the hash. n);elseHandleError(Error during CryptHashData. n); /-/ 通过散列生成会话密钥if(CryptDeriveKey(hCryptProv, ENCRYPT_ALGORITHM, hH
20、ash, KEYLENGTH, &hKey)printf(An encryption key is derived from the password hash. n); elseHandleError(Error during CryptDeriveKey!n); /-/ Destroy the hash object. CryptDestroyHash(hHash); hHash = NULL; /-/ The session key is now ready. /-/ 因为加密算法是按ENCRYPT_BLOCK_SIZE 大小的块加密的,所以被加密的/ 数据长度必须是ENCRYPT_BL
21、OCK_SIZE 的整数倍。下面计算一次加密的/ 数据长度。dwBlockLen = 1000 - 1000 % ENCRYPT_BLOCK_SIZE; /-/ Determine the block size. If a block cipher is used, / it must have room for an extra block. if(ENCRYPT_BLOCK_SIZE 1) dwBufferLen = dwBlockLen + ENCRYPT_BLOCK_SIZE; else dwBufferLen = dwBlockLen; /-/ Allocate memory. if
22、(pbBuffer = (BYTE *)malloc(dwBufferLen)printf(Memory has been allocated for the buffer. n);else HandleError(Out of memory. n); /-/ In a do loop, encrypt the source file and write to the source file. do /-/ Read up to dwBlockLen bytes from the source file. dwCount = fread(pbBuffer, 1, dwBlockLen, hSo
23、urce); if(ferror(hSource) HandleError(Error reading plaintext!n);/-/ 加密数据if(!CryptEncrypt(hKey,/密钥0,/如果数据同时进行散列和加密,这里传入一个/散列对象feof(hSource),/如果是最后一个被加密的块,输入TRUE.如果不是输./入FALSE这里通过判断是否到文件尾来决定是否为/最后一块。0,/保留pbBuffer,/输入被加密数据,输出加密后的数据&dwCount,/输入被加密数据实际长度,输出加密后数据长度dwBufferLen)/pbBuffer的大小。 HandleError(Er
24、ror during CryptEncrypt. n); /-/ Write data to the destination file. fwrite(pbBuffer, 1, dwCount, hDestination); if(ferror(hDestination) HandleError(Error writing ciphertext.); while(!feof(hSource); /-/ End the do loop when the last block of the source file has been/ read, encrypted, and written to the destination file./-/ Close files.if(hSource) fclose(hSource); if(hDestination) fclose(hDestination); /-/ Free memory. if(pbBuffer) free(pbBuffer); /-/ Destroy session key. if(hKey) CryptDestr
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1