The Cryptography API, or How to Keep a Secret(四)

生成密鈅：CryptDeriveKey, CryptGenKey, CryptDestroyKey

这三个函数用来产生密鈅句柄：

• CryptDeriveKey 函数从一个指定的密码（password）产生密鈅。
• CryptGenKey 函数从一个随机产生的数值产生密鈅。
• CryptDestroyKey 函数释放密鈅对象。

使用CryptGenKey 函数时，建议使用 CRYPT_EXPORTABLE 参数以创建一个可导出的会话密鈅。这会建立一个可从一台机器移到另一台机器的值。不提供此参数，返回值仅在此机器/会话中有效。

下面是如何使用 CryptDeriveKey 函数的例子，假定 pPassword 指向一个用户指定的密码， dwPasswordLength 为密码长度。

#include <wincrypt.h>      // 对CryptoAPI的定义/*对于非C/C++用户，此处用到的常量如下：#define ALG_CLASS_HASH                  (4 << 13)#define ALG_TYPE_ANY                    (0)#define ALG_SID_MD5                     3#define CALG_MD5        (ALG_CLASS_HASH | ALG_TYPE_ANY | ALG_SID_MD5)#define CRYPT_EXPORTABLE        0x00000001#define ALG_CLASS_DATA_ENCRYPT          (3 << 13)#define ALG_TYPE_STREAM                 (4 << 9)#define ALG_SID_RC2                     2#define CALG_RC4        (ALG_CLASS_DATA_ENCRYPT|ALG_TYPE_STREAM|ALG_SID_RC4)*/BOOL bResult;HCRYPTHASH hHash;HCRYPTKEY hKey; // 获得散列对象句柄bResult = CryptCreateHash(            hProv,             // 之前获得的CSP句柄            CALG_MD5,          // 散列算法            0,                 // 非密鈅散列            0,                 // 置0            &hHash);           // 保存散列对象句柄的变量 // 散列数据bResult = CryptHashData(            hHash,             // 散列对象句柄            pPassword,         // 指向密码的指针            dwPasswordLength,  // 数据长度            0);                // 未指定值  // 从指定的密码产生密鈅bResult = CryptDeriveKey(            hProv,               // 之前获得的CSP句柄            CALG_RC4,            // 流加密            hHash,               // 密码散列后对象句柄            CRYPT_EXPORTABLE,    // 密鈅可导出            &hKey);              // 保存密鈅对象句柄的变量...// 用密鈅进行操作...// 释放散列对象CryptDestroyHash(hHash); // 释放密鈅对象CryptDestroyKey(hKey);

加密与解密数据：CryptEncrypt, CryptDecrypt

简单来说，尽管不全对，加密API 处理数据是围绕两个函数—加密(CryptEncrypt) 与解密(CryptDecrypt)。

这两个函数非常易用，但需要对其参数进行一下说明 ：

• 每个函数的头六个参数是相同的
• 头两个参数仅是密鈅句柄和一个可选的散列对象
• 第三个参数是一个布尔值，此值在最后一块数据块之前保持为FALSE，为让函数对最后一块数据进行特殊处理，在最后一块数据时置为TRUE
• 第四与第五个参数是标志值和一个指向加密或解密数据的指针
• 第六个参数是缓冲区中待加密字符的数量
• 第七个参数通常与第六个参数相同，它指出数据块长度。这是因为对于许多算法来说，加密数据尺寸与解密数据尺寸是相同的。然而，某些算法增加加密数据的长度。在这种情况下，第五个参数中的缓冲区必须大到足以容纳额外的数据。

缓冲区长度的问题可以在加密前通过调用CryptEncrypt 函数返回需要缓冲区的尺寸来解决。下面的例子代码演示了这种技术。在这个例子中，某些值已假定之前已获得，我们仅要加密pData指向的缓冲区中dwDataLen字节长的数据。

BOOL bResult;PBYTE pBuffer;DWORD dwSize; // 将缓冲中数据长度赋给变量dwSize = dwDataLen; // 让API返回给我们需要的缓冲长度bResult = CryptEncrypt(            hKey,            // 之前获得的密鈅对象            0,               // 不散列数据            TRUE,            // 最后的还是缓冲的数据            0,               // 必须置0            NULL,            // 无数据，简单的返回尺寸            &dwSize,         // 数据的尺寸            dwSize);         // 数据块尺寸 // 现在得到了输出缓冲区尺寸，创建此缓冲区pBuffer = new char[dwSize]; // 加密数据bResult = CryptEncrypt(            hKey,            // 之前获得的密鈅对象            0,               // 不散列数据            TRUE,            // 最后的还是缓冲的数据            0,               // 必须置0            pBuffer,         // 数据缓冲区            &dwSize,         // 数据尺寸            dwSize);         // 数据块尺寸

同时进行加密与解密

当使用同一个密鈅进行加密或解密两个数据流时，必须采取一些措施。同一个物理会话密鈅不得被用于同一个操作，因为每个会话密鈅容器的内部状态信息在同时进行一个操作时会混乱。对此问题的简单解决办法是制作一份会话密鈅的拷贝。这样，原始密鈅进行一个操作，拷贝密鈅进行另一个操作。

制作一个会话密鈅的拷贝可以通过调CryptExportKey 导出密鈅，然后调CryptImportKey 将它导进来。密鈅导入后，CSP 会给这个“新”的密鈅分配自己的内部内存区域，就好象它跟原来的密鈅完全没有关联一样。

原文转自：http://www.ltesting.net