Cryptography API: Next Generation(CNG)使用梳理——非对称加密算法应用(一)数字验证及非对称密钥的导出与导入

原创 已于 2024-12-31 12:02:07 修改 · 713 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #windows #c++ #c语言

于 2023-07-10 13:37:58 首次发布
本文介绍了CryptographyAPI:NextGeneration(CNG)中非对称加密的关键步骤,包括数字验证、密钥对创建、签名过程以及公钥的导入导出。通过NCrypto和BCrypto函数,展示了如何使用非对称密钥进行签名和验证,特别讨论了PKCS1填充在RSA签名中的应用。

非对称加密算是CNG的重头戏,主要包括,数字验证、信息加密、共享密钥协议等,其中引入了NCtypto系列的函数用于非对称密钥的持久化保存与读取,这篇先以数字验证为例梳理一下,非对称密钥的使用,及导入导出。下一篇同样以数字验证为案例讲一下,非对称密钥导入导出时的持久化保存问题(即BCrypto生成的密钥导出后通过NCrypto保存),之后会再出一篇谈谈与OpenSSL3之间的密钥格式转换及相互签名及验证

一、一般流程

(一)对需要签名的数据进行哈希算法,具体参照,这里不做详述《Cryptography API: Next Generation(CNG)使用梳理——Hash及随机数算法应用》

(二)签名流程(NCtypto签名,BCtypto验证签名)

1、获取算法提供者句柄(NCtypto)

2、创建非对称密钥对

3、完成(NCtypto系列可以在本地固定目录保存密钥对)密钥对

4、对已经Hash的数据进行签名

5、导出公钥(NCtypto)

6、获取算法提供程序(BCtypto)

7、导入公钥(BCtypto)

8、验证签名

需要使用到的函数:

//打开支持所需算法的算法提供程序(NCrypt)
SECURITY_STATUS NCryptOpenStorageProvider(
  [out]          NCRYPT_PROV_HANDLE *phProvider,
  [in, optional] LPCWSTR            pszProviderName,
  [in]           DWORD              dwFlags
);

//创建一个新的密钥对,并将其存储在指定的密钥存储提供程序中
SECURITY_STATUS NCryptCreatePersistedKey(
  [in]           NCRYPT_PROV_HANDLE hProvider,
  [out]          NCRYPT_KEY_HANDLE  *phKey,
  [in]           LPCWSTR            pszAlgId,
  [in, optional] LPCWSTR            pszKeyName,
  [in]           DWORD              dwLegacyKeySpec,
  [in]           DWORD              dwFlags
);

//设置密钥对属性,但在调用 NCryptFinalizeKey 函数之前,不能使用该键
//比如:设置私钥可以导出
SECURITY_STATUS NCryptSetProperty(
  [in] NCRYPT_HANDLE hObject,
  [in] LPCWSTR       pszProperty,
  [in] PBYTE         pbInput,
  [in] DWORD         cbInput,
  [in] DWORD         dwFlags
);

//完成密钥存储。 在调用此函数之前,不能使用该密钥对
SECURITY_STATUS NCryptFinalizeKey(
  [in] NCRYPT_KEY_HANDLE hKey,
  [in] DWORD             dwFlags
);

//创建哈希值的签名
SECURITY_STATUS NCryptSignHash(
  [in]           NCRYPT_KEY_HANDLE hKey,
  [in, optional] VOID              *pPaddingInfo,
  [in]           PBYTE             pbHashValue,
  [in]           DWORD             cbHashValue,
  [out]          PBYTE             pbSignature,
  [in]           DWORD             cbSignature,
  [out]          DWORD             *pcbResult,
  [in]           DWORD             dwFlags
);

//密钥导出到内存BLOB
SECURITY_STATUS NCryptExportKey(
  [in]            NCRYPT_KEY_HANDLE hKey,
  [in, optional]  NCRYPT_KEY_HANDLE hExportKey,
  [in]            LPCWSTR           pszBlobType,
  [in, optional]  NCryptBufferDesc  *pParameterList,
  [out, optional] PBYTE             pbOutput,
  [in]            DWORD             cbOutput,
  [out]           DWORD             *pcbResult,
  [in]            DWORD             dwFlags
);

//打开支持所需算法的算法提供程序(B
最低0.47元/天 解锁文章
Cryptography API: Next Generation (CNG)使用梳理——概述
耍宝王专栏
09-13 1490
微软新加密算法Cryptography API: Next Generation
Cryptography API: Next Generation(CNG)使用梳理——非对称加密算法应用(五)OpenSSL数字签名认证的互通(ECDSA)
耍宝王专栏
07-17 1209
CNG中的数字签名算法主要包括RSA、DSA和ECDSA,其中RSA算法所得的签名值是可以直接OpenSSL相互验证的,而DSA和ECDSA则不行,这是因为输出的格式不同OpenSSL采用DER,而ECDSA在OpenSSL3之前可以使用ECDSA_do_sign获得ECDSA_SIG格式,但penSSL3以后的版本因为隐藏了底部实现,所以其数字签名函数只能使用EVP_SignXXXXX、EVP_Digest和EVP_PKEY_sign这些函数了,其输出的签名格式为DER。
bcrypto:JS加密库
05-24
Bcrypto Node.js缺少的加密模块。 Bcrypto为您提供了跨Node.js和浏览器的致界面。 它被实现为C库和的,并具有JavaScript中的相应实现。 用法 const rng = require ( 'bcrypto/lib/random' ) ; const entropy = rng . randomBytes ( 32 ) ; const Hash256 = require ( 'bcrypto/lib/hash256' ) ; const digest = Hash256 . digest ( Buffer . alloc ( 32 , 0xaa ) ) ; 原料药 请参阅./lib目录,以获取可用的模块和API。 实作 nodejs(Linux) nodejs(macos) nodejs(赢) 浏览器 埃阿德 c(解放¹) c(解放¹) c(解
Cryptography API: Next Generation(CNG)使用梳理——Hash及随机数算法应用
耍宝王专栏
09-13 948
演示Cryptography API: Next Generation(CNG)中有关哈希算法使用过程,介绍BCRYPT_HASH_REUSABLE_FLAG参数的作用,及其使用在BCryptOpenAlgorithmProvider和BCryptCreateHash的区别,还有BCRYPT_ALG_HANDLE_HMAC_FLAG参数的作用,及如何在定义后使用BCryptCreateHash的pbSecret和cbSecret参数
The Cryptography API, or How to Keep a Secret ()
MSVCer的专栏
02-07 1573
 The Cryptography API, or How to Keep a Secret译注:因本文发布时间较早,文中所阐述某些内容已发生变化,发生变化处译者已标出。Robert ColeridgeMicrosoft Developer Network Technology GroupAugust 19, 1996 摘要本文描述已在新的Windows NT 4.0版
Cryptography API: Next Generation(CNG)使用梳理——对称加密算法应用
耍宝王专栏
09-17 1422
讲述CNG对称加密中设置操作模式,加密填充方式,密钥导入导出,及添加身份验证
Cryptography API: Next Generation(CNG)使用梳理——非对称加密算法应用(二)非对称密钥导入并保存及公钥加密私钥解密
耍宝王专栏
07-11 1012
此篇主要聊下,如果保存BCrypt创建的密钥,及导出(备份)NCrypt创建的密钥(私钥)CNG中NCrypt创建的密钥对会默认会保存在本地,而BCrypt创建的密钥对并不会保存。NCrypt创建的密钥默认不能导出私钥。
Cryptography API: Next Generation(CNG)使用梳理——非对称加密算法应用(四)OpenSSL3之间的非对称密钥转换(RSA)
耍宝王专栏
07-14 707
至于完整密钥的转换,可以参照私钥部分,但这里就不写了,同时考虑到CNG密钥对校验机制,且不同版本的对私钥指数的实现方式不同,应此不建议导入第三方转换的BCRYPT_RSAFULLPRIVATE_BLOB(两种算法的d值可能不同,但在RSA中的数学特性是完全相同的,仅因为不确定CNG校验机制在当前版本或者后续版本中原理,考虑到兼容和稳定,所以不推荐,如果有实际需要,则推荐采用算法2的计算值作为PrivateExponent的结果)cbPrime1 键的第个质数(p)的大小(以字节为单位)。
Cryptography API: Next Generation(CNG)使用梳理——非对称加密算法应用(三)OpenSSL3之间的非对称密钥转换(ECC)
耍宝王专栏
07-12 909
备注:当然也可以直接定义个辅助函数将EVP_PKEY_get_group_name获取椭圆曲线的名字(SN)直接转换为BCRYPT_ECCKEY_BLOB中的Magic。3、通过辅助函数ECDH_NID_to_CNG_Magic或者ECDSA_NID_to_CNG_Magic转换为BCRYPT_ECCKEY_BLOB中的Magic。、将CNG导出的BCRYPT_ECCPUBLIC_BLOB中的X和Y坐标格式转换为OpenSSL中的pub的点格式,也就是"pub" (备注:虽说内部有独立的"qx" (
The Cryptography API, or How to Keep a Secret()
MSVCer的专栏
02-07 1251
CRYPTOAPI 例程概述随本文提供的CRYPTOAPI 例程是个“完整”的加密/解密工具。程序能够向默认的CSP中添加移除用户,使用或不使用密码进行加密解密文件,签署验证签名,显示默认CSP的性能。程序有下列命令行结构。Usage: Encrypt switch [arguments] Where switch and optional arguments are one
VC++非对称密钥的生成、导入导出示例
03-15
内容索引:VC/C++源码,界面编程,非对称性,密钥,加密,解密  VC++非对称密钥的生成、导入导出示例 ,压缩包内有两个工程:   CSPTEST是第次写的,代码有些乱,完成非对称密钥的生成、导入导出、加密、解密、对称的加密解密、签名、验证。   CSTTEST2 是对前个的更新修正,功能又增加了些,不过还有不少没有写,同样是完成非对称密钥导出导入,还有就是会话密钥的操作。
CryptAPI函数调用实例(修改后)
07-26
本实例将CryptAPI 些常用的函数做了演示,实现的功能包括CSP调用,生成RSA密钥对,DES加密解密文件,对文件进行hash运算,使用私钥签名文件,验证签名等功能。
The Cryptography API, or How to Keep a Secret()
MSVCer的专栏
02-07 1426
生成密鈅:CryptDeriveKey, CryptGenKey, CryptDestroyKey这三个函数用来产生密鈅句柄: CryptDeriveKey 函数从个指定的密码(password)产生密鈅。CryptGenKey 函数从个随机产生的数值产生密鈅。CryptDestroyKey 函数释放密鈅对象。使用CryptGenKey 函数时,建议使用 CRYPT_E
Windows密码服务框架(CNG)介绍
cqwei1987的博客
06-29 2995
本文对微软新代密码应用接口Windows CNG进行介绍,并对其密码原语、密钥存储两个部分的特点、安全性进行分析。
数字证书相关的知识点
热门推荐
青学博客
05-30 1万+
最近公司的项目需要使用到设备证书,之前也没有接触过。最近学习了把,然后把些学习内容总结下来。 、定义和缩写 1、CA(Certificate Authority) 电子认证服务机构的简称。CA是网络身份认证的管理机构,是网上安全电子交易中具有权威和公证性的可信懒的第三方机构。CA为电子事务的各参方签发标识其身份的数字证书,并对数字证书进行更新、撤销等系列管理。 CA分为公有的CA和私有的CA 公有CA:公开的CA,个知名的,可达的,全局(互联网),受信任的证书服务器,由些专业的公司进行操作
VS2013 下使用Cryptography API: Next Generation (CNG)的环境配置
weixin_33656634的博客
05-25 955
1、简介: Windows使用加密API,从Windows Server 2008和Windows Vista开始支持CNG,下Windows加密APICNG),这是对原来CryptoAPI的长期替代。具体介绍细节可见官网:https://docs.microsoft.com/en-us/windows/win32/seccng/cng-portal。这里只要总结下开发环境的配置。 2、配置要点: (1)下载Cryptographic Provider Developmen...
CNG加密文件的简单方法
谢启东的专栏
02-18 8641
CNG加密文件的简单方法     简介    文中用到了Cryptography API Next GenerationCNG)函数,开发环境为Windows Vista下的Visual C++ 2005 SP1标准版,加上Windows SDK及CNG SDK。    程序可适用于以下情况:    在安全环境下保存文档,但需要在不安全的媒质(如互联网)中传送。    加密文件,如图像
c++ 使用bcrypt_c – CNG:何时使用BCrypt * vs NCrypt *系列函数
weixin_36346221的博客
12-23 925
BCrypt函数族被归类为Cryptographic Primitives,而NCrypt函数族被归类为Key Storage and Retrieval.主要区别在于BCrypt函数仅在处理短暂键时使用,而NCrypt函数在需要持久键时使用.实际上,BCrypt函数通常用于散列和对称加密,而NCrypt函数用于公钥/私钥加密和解密,公钥/私钥签名和验证,以及共享秘密(例如DH和ECDH)协商.虽...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值