CryptoAPI调用指南(四)——数字签名及验证

最新推荐文章于 2024-08-06 11:14:29 发布
最新推荐文章于 2024-08-06 11:14:29 发布
阅读量956 收藏
点赞数
文章标签: cryptoapi 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45303938/article/details/107414620
版权

七、 数字签名
和非对称加密类似,数字签名通过调用CryptSignMessage这一个方法即可实现,这一个方法里将摘要运算和私钥加密摘要两步都包含进去了。
BOOL CryptSignMessage(
PCRYPT_SIGN_MESSAGE_PARA pSignPara,
BOOL fDetachedSignature,
DWORD cToBeSigned,
const BYTE * [] rgpbToBeSigned,
DWORD [] rgcbToBeSigned,
BYTE *pbSignedBlob,
DWORD *pcbSignedBlob
)
pSignPara是签名参数,比如可做如下设置:
CRYPT_SIGN_MESSAGE_PARA SigParams;
SigParams.cbSize = sizeof(CRYPT_SIGN_MESSAGE_PARA);
SigParams.dwMsgEncodingType = PKCS_7_ASN_ENCODING | X509_ASN_ENCODING;//编码方式
SigParams.pSigningCert = pCertContext;//签名所用证书的上下文
SigParams.HashAlgorithm.pszObjId = szOID_RSA_SHA1RSA;//摘要算法用SHA1
SigParams.HashAlgorithm.Parameters.cbData = NULL;
SigParams.cMsgCert = 1;// CryptSignMessage生成的是标准的PKCS7格式签名,支持多用户签名,这里指定签名用户数,也就是rgpMsgCert数组元素个数。当然,绝大部分情况下只有一个用户签名。
SigParams.rgpMsgCert = &pCertContext;//包含所有签名证书的数组,必须将pSigningCert指向的证书上下文对象添加到这个数组里
SigParams.cAuthAttr = 0;//用户认证属性数组元素个数,也就是rgAuthAttr元素个数,没有的话就传0
SigParams.rgAuthAttr = NULL;// 用户认证属性数组
SigParams的其他属性值可以参看相关文档,一般情况下都设置为0或NUL;fDetachedSignature标识签名结果是否与原文分离,一般设置为TRUE;cToBeSigned 是待签名原文的个数,也就是rgpbToBeSigned和rgcbToBeSigned的元素个数;注意,如果fDetachedSignature为FALSE,即签名和原文不分离的情况下,cToBeSigned只能是1,也就是只能有一个原文进行签名;rgpbToBeSigned是待签名的原文数组;rgcbToBeSigned是待签名原文长度的数组;pbSignedBlob为返回的PKCS7格式签名结果,如果fDetachedSignature为TRUE,则结果为纯签名;否则结果里包含签名和原文数据;pcbSignedBlob是pbSignedBlob的字节长度。同样,每一次签名时此方法应调用两次,第一次pbSignedBlob传NULL,pcbSignedBlob返回签名结果的实际长度,第二次调用时为pbSignedBlob分配pcbSignedBlob的字节长度。第二次调用一定要用实际长度分配空间,否则即使签名成功,验证时也可能失败。
方法成功返回TRUE,失败返回FALSE,调用GetLastError可返回具体错误信息。
八、 签名验证
根据签名结果是否与原文分离,验证签名的方法也相应有两种:

  • 签名与原文分离
  • CryptAcquireContext
  • BOOL CryptVerifyDetachedMessageSignature(
    PCRYPT_VERIFY_MESSAGE_PARA pVerifyPara,
    DWORD dwSignerIndex,
    const BYTE *pbDetachedSignBlob,
    DWORD cbDetachedSignBlob,
    DWORD cToBeSigned,
    const BYTE * [] rgpbToBeSigned,
    DWORD [] rgcbToBeSigned,
    PCCERT_CONTEXT *ppSignerCert
    )
    pVerifyPara是验证参数,可以做如下设置:
    CRYPT_VERIFY_MESSAGE_PARA VerifyParams;
    VerifyParams.cbSize = sizeof(CRYPT_VERIFY_MESSAGE_PARA);
    VerifyParams.dwMsgAndCertEncodingType = PKCS_7_ASN_ENCODING | X509_ASN_ENCODING;//编码方式
    VerifyParams.hCryptProv = hProv;// CryptAcquireContext返回的CSP句柄
    VerifyParams.pfnGetSignerCertificate = NULL;//用于返回签名证书的回调函数,如果为NULL,则使用缺省回调函数,即从签名数据里返回
    VerifyParams.pvGetArg = NULL;//上述回调函数的参数
    dwSignerIndex是被验证的签名的索引值,从0开始。通过循环调用此方法并递增dwSignerIndex,可以验证签名数据中的所有签名。当验证结果返回FALSE,并且用GetLastError返回的错误是CRYPT_E_NO_SIGNER,所有签名已验证完毕;
    pbDetachedSignBlob为待验证的签名数据;cbDetachedSignBlob为待验证的签名数据长度;cToBeSigned为生成签名的原文个数;rgpbToBeSigned是原文数组;rgcbToBeSigned是原文长度的数组;ppSignerCert返回签名证书的上下文,同样这个上下文对象在使用完毕后要用CertFreeCertificateContext释放。如果不需要返回,ppSignerCert参数传NULL。
    方法返回值为TRUE时表明验证成功,否则验证失败,可以调用GetLastError得到具体错误信息。和签名本身有关的常见错误有:
错误码说明
E_INVALIDARG(0x80070057)数据编码方式无效。目前只支持PKCS_7_ASN_ENCODING和 X509_ASN_ENCODING_TYPE
CRYPT_E_UNEXPECTED_MSG_TYPE(0x8009200A)非数字签名。
CRYPT_E_NO_SIGNER(0x8009200E)没有未验证的签名了。
NTE_BAD_ALGID(0x80090008)未知或不支持的算法。
NTE_BAD_SIGNATURE(0x80090006)无效的签名。也就是原文或(和)签名被改动造成的验证失败。
  • 签名与原文不分离
  1. CryptAcquireContext
  2. BOOL CryptVerifyMessageSignature(
    PCRYPT_VERIFY_MESSAGE_PARA pVerifyPara,
    DWORD dwSignerIndex,
    const BYTE *pbSignedBlob,
    DWORD cbSignedBlob,
    BYTE *pbDecoded,
    DWORD *pcbDecoded,
    PCCERT_CONTEXT *ppSignerCert
    )
    CryptVerifyMessageSignature方法的前两个和最后一个参数与CryptVerifyDetachedMessageSignature方法一致;pbSignedBlob为待验证签名数据,里面包含签名和原文;cbSignedBlob为签名数据长度;pbDecoded为返回的原文;pcbDecoded为原文的长度;如果想返回原文,那CryptVerifyMessageSignature需调用两次,第一次pcbDecoded传NULL,pcbDecoded返回其需要的实际长度,第二次为pcbDecoded分配实际长度空间。
    在返回值方面,CryptVerifyMessageSignature方法多了一种常见错误码ERROR_MORE_DATA(0xEA),表示为pbDecoded分配的空间不够。
    另外,调用CryptoAPI的程序处理的数据经常是BASE64编码字符串类型,但CryptoAPI输入输出参数都是字节流类型,所以在实际开发时需要进行BASE64和字节数组之间的转换。
    到此就把常用的CryptoAPI功能接口介绍完毕了。完整的CryptoAPI函数接口大家可以参考相关文档和头文件WinCrypt.h,有任何问题欢迎在评论区交流。
weixin_45303938
关注
Delphi使用CryptoAPI生成证书及PHP(openssl)端签名验签
12-21
在IT行业中,安全通信是至关重要的,这通常涉及到数字签名和证书验证。本文将深入探讨如何使用Delphi的CryptoAPI生成自签名证书,并在PHP端使用openssl库进行签名和验签的操作。首先,我们理解一下相关概念。 1. **...
Crypto库实现PKCS7签名与签名验证
wangsifu2009的专栏
05-12 8703
在windows中,可以直接使用微软提供的crypto库实现PKCS7签名与签名验证。签名接口函数CryptSignMessage,其接口定义为: BOOL WINAPI CryptSignMessage( __in PCRYPT_SIGN_MESSAGE_PARA pSignPara, __in BOOL fDetachedSignature,
CryptoAPI例子-最全2
dlfer11的专栏
12-17 1553
// 裸签 void BareSignData(BYTE* orgData, int orgSize, LPCSTR inFileName = NULL, LPCSTR outFileName = NULL) {     // 准备数据     CRYPT_DATA_BLOB orgBlob;     prepareData(orgData, orgSize, inFileName, o
Pkcs7Detache 数字签名、验签
最新发布
java_sso_yw的博客
08-06 299
Pkcs7Detache 数字签名、验签
CSP开发基础--CryptoAPI函数简介
liuhuiyi的专栏
07-24 1万+
CryptoAPI体系主要由一下几部分组成: 基本加密函数、证书编码与解码函数、证书存储函数、简化信息处理函数、底层信息处理函数。   1、基本加密函数 CSP是真正实行加密的独立模块,他既可以由软件实现也可以由硬件实现。但是他必须符合CryptoAPI接口的规范。 每个CSP都有一个名字和一个类型。每个CSP的名字是唯一的,这样便于CryptoAPI找到对应的CSP。目前已经有9种CS
CSP编程基础--CryptAPI基本函数含参介绍
liuhuiyi的专栏
07-26 1万+
一: Creating a Key Container and Generating Keys   创建一个密钥容器,在进行加密,解密文件,并且签名的时候,必须需要一个公/私钥对,下面我们就来创建默认的密钥容器,要注意的是创建密钥容器并不会自动产生公/私钥对.   下面是我们程序的任务:   1,假如密钥容器不存在则创建一个。   2,假如签名密钥不存在则在密钥容器里创建一个。   3,
CryptoAPI ukey获取证书以及签名流程
08-28
本文整理了如何使用CryptoAPI 操作ukey进行数字签名。附上流程和部分代码,讲解cryptoapi实际应用以及应用中关键问题的解决方法,在这里,仅介绍数字签名(加密流程类似,但是,操作略有不同,所需要的函数也不同),...
VC6实例cryptoapi加密数字签名
04-16
• 基本加密函数:用于选择CSP、建立CSP连接、...• 简单消息函数:用于消息处理,比如消息编码/解码、消息加/解密、数字签名及签名验证等操作。它是把多个底层消息函数包装在一起以完成某个特定任务,方便用户的使用。
CryptoAPI加解密签名验证
01-14
CryptoAPICryptographic Application Programming Interface)是微软Windows操作系统提供的一套安全服务接口,允许开发者在应用程序中集成加密、数字签名、哈希等功能,以实现数据的安全保护和身份验证CryptoAPI...
Microsoft CryptoAPI加密技术 源代码.zip
03-28
在这个源文件中,可能会实现使用CryptoAPI进行数字签名验证签名的代码。这通常涉及到私钥的使用,如通过CryptSignHash和CryptVerifySignature函数来实现。 3. **解密例程.cpp**: 与加密对应,解密例程.cpp应该...
VC++2010基于windows Sdk for windows7 开发CrytoAPI应用--用数字证书签名消息并验证消息签名...
chengyixian7877的博客
03-09 108
windows Sdk for windows7 提供的CrytoAPI是微软推出的安全应用调用函数,用很小的代码就可以实现复杂的安全信息加密。 下面演示用数字证书签名消息并验证消息签名,详情请见代码。可以用于信息安全。 包括windows的消息都可以进行签名,防止消息hook, ...
CSP开发基础--CayptAPI函数库介绍
热门推荐
liuhuiyi的专栏
07-26 1万+
基本加密函数 基本加密函数为开发加密应用程序提供了足够灵活的空间。所有CSP的通讯都是通过这些函数。一个CSP是实现所有加密操作的独立模块。在每一个应用程序中至少需要提供一个CSP来完成所需的加密操作。如果使用多于一个以上的CSP,在加密函数调用中就要指定所需的CSP。微软基本加密提供者(Microsoft Base Cryptographic Provider),是缺省绑定到CryptoA
CryptoAPI简介(二)
Lassewang的成长历程
08-23 4295
CryptoAPI的应用 CryptoAPI函数使用“加密服务提供者”(CSP)完成数据加密、解密以及密钥的存储管理、所有的CSP都是相互独立的模块。理论上,CSP应该独立于特定的应用程序,也就是说所有的应用程序可以使用任何一个CSP。但是,实际上有些应用程序只能与特定的CSP协作。CSP与应用程序之间的关系类似于Windows GDI模型。CSP就类似于图形硬件驱动程序。 密
CryptoAPI实现DES加密解密
玉宇逍遥
06-03 4363
#include #include #include BOOL DES(__in const BYTE* pbKey, __in DWORD cbKeyLen, __in const BYTE* pbData, __in DWORD cbDataLen, __out BYTE* pbBuf, __i
Crypto API加密通信流程
mfreesky的专栏
04-02 1585
 应用程序使用Crypto API进行加密通信的一般步骤如下:  1,include wincrypt.h 2,调用CryptAcquireContext()获得某个CSP模块中的密钥容器(key container)的一个句柄; 3,发送方使用CryptImportKey()将接受方的证书导入CSP中,从而获得接收方的公钥; 4,发送方式用CryptGenKey()随机产
cryptoapi实现数字签名
05-20
CryptoAPI是一组用于加密和解密数据的API,其中包括数字签名的实现。数字签名是一种用于验证数据完整性和身份验证的技术,它使用公钥密码学验证数字签名的真实性。 要使用CryptoAPI实现数字签名,可以按照以下步骤进行: 1. 创建一个Cryptographic Service Provider(CSP)对象,用于执行加密和解密操作。 2. 创建一个密钥容器,用于存储数字证书。 3. 获取数字证书并将其存储在密钥容器中。 4. 使用密钥容器中的私钥创建数字签名。 5. 验证数字签名的有效性。 以下是一个示例代码,用于使用CryptoAPI实现数字签名: ``` #include <windows.h> #include <wincrypt.h> #define ENCODING (X509_ASN_ENCODING | PKCS_7_ASN_ENCODING) int main() { HCRYPTPROV hProv = 0; HCRYPTKEY hKey = 0; HCRYPTHASH hHash = 0; DWORD dwSigLen = 0; BYTE *pbSig = NULL; // Acquire a cryptographic context. if (!CryptAcquireContext(&hProv, NULL, NULL, PROV_RSA_FULL, 0)) { printf("Error: CryptAcquireContext failed\n"); return 1; } // Create a hash object. if (!CryptCreateHash(hProv, CALG_SHA1, 0, 0, &hHash)) { printf("Error: CryptCreateHash failed\n"); return 1; } // Hash the data. BYTE pbData[] = "Hello, world!"; DWORD dwDataLen = strlen(pbData); if (!CryptHashData(hHash, pbData, dwDataLen, 0)) { printf("Error: CryptHashData failed\n"); return 1; } // Create a signature of the hash. if (!CryptGetUserKey(hProv, AT_SIGNATURE, &hKey)) { printf("Error: CryptGetUserKey failed\n"); return 1; } if (!CryptSignHash(hHash, AT_SIGNATURE, NULL, 0, NULL, &dwSigLen)) { printf("Error: CryptSignHash failed (1)\n"); return 1; } pbSig = (BYTE*)malloc(dwSigLen); if (!CryptSignHash(hHash, AT_SIGNATURE, NULL, 0, pbSig, &dwSigLen)) { printf("Error: CryptSignHash failed (2)\n"); return 1; } // Verify the signature. if (!CryptVerifySignature(hHash, pbSig, dwSigLen, hKey, NULL, 0)) { printf("Error: CryptVerifySignature failed\n"); return 1; } printf("Signature verified successfully.\n"); // Clean up. CryptDestroyHash(hHash); CryptReleaseContext(hProv, 0); return 0; } ``` 此代码使用SHA1算法对数据进行哈希,并使用AT_SIGNATURE标识符获取密钥容器中的私钥来创建数字签名。然后,它验证数字签名的有效性。在实际情况下,您需要从数字证书中获取公钥并使用它来验证数字签名
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

weixin_45303938

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值