Cryptography API: Next Generation (CNG)使用梳理——概述

已于 2023-07-11 16:25:10 修改
阅读量877 收藏 1
点赞数
分类专栏: CNG 文章标签: windows 安全 c++
于 2022-09-13 14:45:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pgplay/article/details/126831167
版权

作为微软新一代的加密API,相比老的CryptoAPI提供了更多算法。且,CNG 支持采用内核模式加密。 在内核和用户模式下使用相同的 API,以完全支持加密功能。

CNG 包括对扩展到所有所需算法的B套件的支持:AES (所有密钥大小) , SHA-2 系列 (SHA-256、SHA-384 和 SHA-512) 哈希算法、ECDH 和椭圆曲线 DSA (ECDSA) NIST 标准黄金曲线 P-256、P-384 和 P-521。 Microsoft 算法 Windows提供程序不支持二进制曲线、Koblitz 曲线、自定义黄金曲线和椭圆曲线 Menezes-Qu-Vanstone (ECMQV) 。

Algorithm 类说明
随机数生成器可插入随机数生成 (RNG) 。
散 列用于哈希的算法,如 SHA1 和 SHA2。
对称加密用于对称加密的算法,例如 AES、3DES 和 RC4。
非对称加密支持加密的非对称 (公钥) 算法,例如 RSA(只有RSA公钥加密算法)。
数字签名认证DSA 和 ECDSA 等签名算法。 此类还适用于 RSA。
密钥交换协议Diffie-Hellman (DH) 和椭圆曲线等密钥交换协议算法Diffie-Hellman (ECDH) 。

CNG的整体使用方式和老的CryptoAPI相似,但其分为BCrypto系列和NCrypto系列,从内容来说,BCrypto系列可以看做是加密算法的核心,提供包括:哈希、随机数、对称加密、非对称加密、(对称和非对称)数字签名认证,密钥交换协议等算法支持,而NCrypto系列仅包含与非对称有关的部分:非对称加密,(非对称)数据签名认证,密钥交换协议等,从机制来说,BCrypto系列所有算法和密钥都是在内存中完成的,而NCrypto系列则会保存和优先读取保存在系统中的密钥(私钥)

存储位置如下:

密钥类型目录
用户专用%APPDATA%\Microsoft\Crypto\Keys
本地系统专用%ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\SystemKeys
本地服务专用%WINDIR%\ServiceProfiles\LocalService
网络服务专用%WINDIR%\ServiceProfiles\NetworkService
共享专用%ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\Keys

注意:

1、CNG的API不是线程安全的

Any functions that modify the same area of memory at the same time (critical sections) when being called from separate threads are not thread safe.

从单独的线程调用时,任何同时修改同一内存区域的函数 (关键部分) 不是线程安全的。

P.S. 写论文查重的可以学习一下,这段话很严谨,简简单单把不是线程安全这件事,描述的很具体,读取安全,写入不安全

NTSTATUS BCryptOpenAlgorithmProvider(
  [out] BCRYPT_ALG_HANDLE *phAlgorithm,
  [in]  LPCWSTR           pszAlgId,
  [in]  LPCWSTR           pszImplementation,
  [in]  ULONG             dwFlags
);

2、BCryptOpenAlgorithmProvider函数获取的算法提供程序句柄是可以被重复使用的

Because of the number and type of operations that are required to find, load, and initialize an algorithm provider, the BCryptOpenAlgorithmProvider function is a relatively time intensive function. Because of this, we recommend that you cache any algorithm provider handles that you will use more than once, rather than opening and closing the algorithm providers over and over.

因为(需要完成)查找、加载和初始化算法提供程序所需的操作数量和类型,BCryptOpenAlgorithmProvider函数是一个相对耗时的函数。因此,我们建议您缓存将多次使用的任何算法提供程序句柄,而不是反复打开和关闭算法提供程序。

3、BCryptSetProperty和BCryptGetProperty函数可以操作于算法提供程序句柄和密钥句柄

也就是可以对BCryptOpenAlgorithmProvider函数返回的BCRYPT_ALG_HANDLE和BCryptCreateHash、BCryptGenerateKeyPair、BCryptGenerateKeyPair返回的各BCRYPT_KEY_HANDLE起作用。

区别是对其前者(BCryptOpenAlgorithmProvider函数返回的BCRYPT_ALG_HANDLE)进行设置,则由此BCRYPT_ALG_HANDLE产生的BCRYPT_KEY_HANDLE都会起效,而对BCRYPT_KEY_HANDLE进行设置,则,只对当前密钥起效

4、对于上面几点NCrypt系列对应函数也是一样

如NCryptOpenStorageProvider及NCryptSetProperty和NCryptGetProperty

耍宝王
关注
专栏目录
CNG(Cryptography Next Generation)的SDK
10-25
Cryptography Next Generation的开发包,安装后有document和sample
Microsoft CryptoAPI加密技术(一)
蜗牛档案室
06-15 2705
Microsoft CryptoAPI加密技术(一)作者:Cuick下载本文示例源代码在这个信息爆炸的时代,我们不得不对信息的安全提高警惕。加密作为保障数据信息安全的一种方式,越来越受到人们的关注。下面,我将把自己对Microsoft CryptoAPI的一些肤浅的理解与大家共享,有什么不妥之处望不吝赐教。一、 加密方法:当初,计算机的研究就是为了破解德国人的密码,人们并没有想到计算机给今
Cryptography API: Next Generation(CNG)使用梳理——Hash及随机数算法应用
耍宝王专栏
09-13 665
演示Cryptography API: Next Generation(CNG)中有关哈希算法使用过程,介绍BCRYPT_HASH_REUSABLE_FLAG参数的作用,及其使用在BCryptOpenAlgorithmProvider和BCryptCreateHash的区别,还有BCRYPT_ALG_HANDLE_HMAC_FLAG参数的作用,及如何在定义后使用BCryptCreateHash的pbSecret和cbSecret参数
Cryptography API: Next Generation(CNG)使用梳理——非对称加密算法应用(一)数字验证及非对称密钥的导出与导入
耍宝王专栏
07-10 376
Cryptography API: Next Generation(CNG)非对称加密,数字验证,非对称密钥的导出与导入,BCrypto到BCrypto,NCrypto到BCrypto
Cryptography API: Next Generation(CNG)使用梳理——对称加密算法应用
耍宝王专栏
09-17 965
讲述CNG对称加密中设置操作模式,加密填充方式,密钥导入导出,及添加身份验证
The Cryptography API, or How to Keep a Secret (一)
MSVCer的专栏
02-07 1450
 The Cryptography API, or How to Keep a Secret译注:因本文发布时间较早,文中所阐述某些内容已发生变化,发生变化处译者已标出。Robert ColeridgeMicrosoft Developer Network Technology GroupAugust 19, 1996 摘要本文描述已在新的Windows NT 4.0版
VS2013 下使用Cryptography API: Next Generation (CNG)的环境配置
weixin_33656634的博客
05-25 779
1、简介: Windows使用加密API,从Windows Server 2008和Windows Vista开始支持CNG,下一代Windows加密APICNG),这是对原来CryptoAPI的长期替代。具体介绍细节可见官网:https://docs.microsoft.com/en-us/windows/win32/seccng/cng-portal。这里只要总结一下开发环境的配置。 2、配置要点: (1)下载Cryptographic Provider Developmen...
Windows密码服务框架(CNG)介绍
cqwei1987的博客
06-29 2441
本文对微软新一代密码应用接口Windows CNG进行介绍,并对其密码原语、密钥存储两个部分的特点、安全性进行分析。
CryptoAPI例子代码
05-29
此外,对于现代应用,考虑到CryptoAPI的年代较久,可能需要转向更新的安全框架,如CNGCryptography API: Next Generation)。 总之,这个"CryptoAPI例子代码"是一个实用的教程,它展示了如何利用CryptoAPI在...
CryptoAPI生成随机数实例代码
10-12
2. **CNGCryptography API: Next Generation)扩展**: 对于更现代的Windows系统,微软引入了CNG,它是CryptoAPI的一个升级版本。CNG同样提供了一个名为`BCryptGenRandom`的函数,它增强了随机数生成的性能和安全...
Cryptography API: Next Generation(CNG)使用梳理——非对称加密算法应用(二)非对称密钥导入并保存及公钥加密私钥解密
耍宝王专栏
07-11 609
此篇主要聊一下,如果保存BCrypt创建的密钥,及导出(备份)NCrypt创建的密钥(私钥)CNG中NCrypt创建的密钥对会默认会保存在本地,而BCrypt创建的密钥对并不会保存。NCrypt创建的密钥默认不能导出私钥。
The Cryptography API, or How to Keep a Secret(五)
MSVCer的专栏
02-07 1146
CRYPTOAPI 例程概述随本文提供的CRYPTOAPI 例程是一个“完整”的加密/解密工具。程序能够向默认的CSP中添加与移除用户,使用或不使用密码进行加密与解密文件,签署与验证签名,显示默认CSP的性能。程序有下列命令行结构。Usage: Encrypt switch [arguments] Where switch and optional arguments are one
The Cryptography API, or How to Keep a Secret(四)
MSVCer的专栏
02-07 1294
生成密鈅:CryptDeriveKey, CryptGenKey, CryptDestroyKey这三个函数用来产生密鈅句柄: CryptDeriveKey 函数从一个指定的密码(password)产生密鈅。CryptGenKey 函数从一个随机产生的数值产生密鈅。CryptDestroyKey 函数释放密鈅对象。使用CryptGenKey 函数时,建议使用 CRYPT_E
使用 CNG API 生成伪随机数
菜头
01-02 2275
// THIS CODE AND INFORMATION IS PROVIDED "AS IS" WITHOUT WARRANTY OF // ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING BUT NOT LIMITED TO // THE IMPLIED WARRANTIES OF MERCHANTABILITY AND/OR FITNESS
基于 CNG API 实现国密算法注册及应用
weixin_70923796的博客
07-04 380
摘 要:下一代加密技术接口是微软在 Windows 下实现的取代上一代加密应用程序接口的密码服务接口。其目的是提供一种可扩展的方式以支持各种应用程序和未知的密码算法,以便不同的算法、协议向操作系统注册,并对应用程序提供统一的调用接口,应用程序无需改造即可支持对新算法的使用。研究了基于下一代加密技术接口在操作系统中注册国密SM2、SM3 算法,完成解析和验证国密 SM2 证书,实现了国密算法在系统中的注册及应用。内容目录:1 CNG 简介2 国密算法在系统中的注册2.1 算法 OID 的注册2.2 算法 Pr
通过windows cng api 实现rsa非对称加密
最新发布
pureman_mega的博客
12-23 582
相对于aes等对称加密算法,rsa加密算法不可逆性更强。非对称加密在通常情况下,使用公钥对数据进行加密之后,如果没有私钥,基本是不可能实现解密的。在一些勒索程序中,非对称加密会经常出现;通过运行结果可以看出,调用系统cng api 每次生成的密钥对都不一样,这就很ok。(下文通过cng api演示rsa加密,不做原理性介绍)
Microsoft Enterprise Library 5.0 系列(二) Cryptography Application Block (初级)
城市蜗牛
09-11 953
企业库加密应用程序模块提供了2种方式让用户保护自己的数据: Hashingproviders:  离散加密法, 简单来说就是把你的信息保存到内存中后用一个离散值表示并返回给程序,这样在程序中只能看到离散值而不是明文,这样就起到简单的加密效果啦.Cryptographyproviders: 密钥加密法. 用对称加密方法对数据进行加密(尚未支持非对称加密). 使用企业库加密应用程序模块的优势:
The Cryptography API, or How to Keep a Secret(三)
MSVCer的专栏
02-07 1555
几个加密API函数[编者注:下面缩进部分的文件引用自MSDN Library, Platform, SDK, 及 DDK 文档。]初始化CSP:CryptAcquireContext, CryptReleaseContext函数CryptAcquireContext用来获得CSP中一个特定密鈅容器的句柄。返回的句柄然后就可以对选择的CSP进行调用。函数CryptReleaseCon
简单实现强大的加密功能——CryptoAPI
dlfer11的专栏
12-17 4763
CryptoAPI是Microsoft提供的加密应用程序接口,他其实是一组函数,他为许多高级安全性服务提供了基础,包括用于电子商务的SET,用于加密客户机/服务器消息的PCT,用于在各个平台之间来回传递机密数据和密钥的PFX,代码签名等等。  支持这种功能的主要有2000/XP(98和ME下不详)  其配置信息(密钥)主要在  HKEY_LOCAL_MACHINE\SOFTWARE\Mi
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值