【问题标题】:RSA Encryption with non exportable key in HSM using C# / CSP使用 C#/CSP 在 HSM 中使用不可导出密钥进行 RSA 加密
【发布时间】:2012-12-19 18:40:09
【问题描述】:

我正在尝试使用这段代码在 C# 中使用 RSA(CSP 中的交换密钥)加密对称密钥(RSA 密钥 CSP50C8C7CD 不可导出,它位于 HSM 中):

CspParameters csp_dnet = new CspParameters(1, "HSM especific CSP");
csp_dnet.Flags = CspProviderFlags.UseNonExportableKey;
csp_dnet.KeyContainerName = "test";

RSACryptoServiceProvider rsa_dnet = new RSACryptoServiceProvider(csp_dnet);

// Create 3DES key
TripleDES tripleDES = new TripleDESCryptoServiceProvider();

// Encrypt 3DES with RSA
byte[] encryptedSessionKey = rsa_dnet.Encrypt(tripleDES.Key, false);

看到 CSP 日志,我注意到 C# 正在尝试导出密钥以继续操作。下面的 CSP 日志仅显示了有关 rsa_dnet.Encrypt 使用的部分:

LOG CSP

...

[12/12/2012 17:28:45] [3688] D [CryptExportKey]  Blob type: PRIVATEKEYBLOB

...

[12/12/2012 17:28:45] [3688] E [CryptExportKey]  Return: FALSE. An internal error occurred.

Windows SO 调用 CryptExportKey 传递 PRIVATEKEYBLOB 意味着导出去私钥。

LOG HSM

...
2012/12/12 17:44:02 [4DD18140] new key 'test/CSP50C8C7CD', t: 6, a: 0
2012/12/12 17:44:14 [4DC2A1C0] 'test' auth ok, 10.0.87.19
2012/12/12 17:44:17 [4DC2A1C0] 'test/CSP50C8C7CD' not exportable, conn: 9  --- ERROR

在 HSM 中,此日志显示 Windows SO 正在尝试提取私钥(这意味着 ERRO,因为密钥不可导出)。

当我在 HSM 中使用可导出密钥 CSP50C8C7CE 时,日志显示一切正常:

LOG HSM

...

2012/12/12 17:47:46 [4DEF4040] 'test' auth ok, IP: 10.0.87.19
2012/12/12 17:47:46 [4DEF4040] export: 'test/CSP50C8C7CE', 1462
2012/12/12 17:47:46 [4DEF4040] export: 'test/CSP50C8C7CE', 1462
2012/12/12 17:47:46 [4DEF4040] delete 'test/CSP50C8C7CE'
2012/12/12 17:47:46 [4DEF4040] import obj 'test/CSP50C8C7CE', 00000004
2012/12/12 17:47:46 [4DEF4040] pk test/CSP50C8C7CE [1]
2012/12/12 17:47:46 [4DEF4040] import obj 'cf1c34c8be5d2fa8a4575c63dd903454', 00000003
2012/12/12 17:47:46 [4DEF4040] delete 'test/CSP50C8C7CE'
2012/12/12 17:47:46 [4DEF4040] import obj 'test/CSP50C8C7CE', 00000006
2012/12/12 17:47:47 [4DEF4040] export: 'cf1c34c8be5d2fa8a4575c63dd903454', 24
2012/12/12 17:47:47 [4DEF4040] delete 'cf1c34c8be5d2fa8a4575c63dd903454'

请注意,此日志显示了许多 RSA 密钥导入/导出操作(参考:CSP50C8C7CE - 可导出密钥)。

问题:库 System.Cryptography 中的 Encrypt 函数需要密钥必须始终可导出?或者我在我的程序中犯了任何错误?有没有遗漏的参数?

【问题讨论】:

    标签: c# encryption rsacryptoserviceprovider


    【解决方案1】:

    您不能在 HSM 中使用不可导出的密钥在内存中进行加密或解密。由于您尝试在内存中进行加密,因此 .NET 正在尝试将私钥提取到内存中,而 HSM 阻止了它。另一方面,您可以拥有私钥的句柄并将您的“要加密/解密的数据”发送到 HSM。换句话说,您可以通过指定其句柄来告诉 HSM 使用其包含的私钥对您的数据进行加密。

    您的 HSM 应该为您提供一个实现 PKCS11 标准并且通常用 C 编写的 API。您可以从这个非托管库中提取方法并在 C# 中使用它们。 Here 你可以找到一个用 C# 编写的 PKCS11 包装库。

    【讨论】:

    • 这个想法是在 HSM 上使用加密并使用 CSP 来执行此操作。该代码的目的不会在内存中进行加密。 HSM 提供了一个 CSP 驱动程序,该驱动程序实现了特定于此类 Microsoft 的 API。 rsa_dnet.Encrypt (tripleDES.Key, false) 函数不应尝试提取私钥,因为启用了标志 CspProviderFlags.UseNonExportableKey。
    猜你喜欢
    • 1970-01-01
    • 2011-08-16
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2017-11-20
    • 1970-01-01
    • 2012-10-06
    • 1970-01-01
    相关资源
    最近更新 更多