The Cryptography API, or How to Keep a Secret(四)

生成密鈅：CryptDeriveKey, CryptGenKey, CryptDestroyKey

这三个函数用来产生密鈅句柄： <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

CryptDeriveKey 函数从一个指定的密码（password）产生密鈅。

CryptGenKey 函数从一个随机产生的数值产生密鈅。

CryptDestroyKey 函数释放密鈅对象。
使用CryptGenKey 函数时，建议使用 CRYPT_EXPORTABLE 参数以创建一个可导出的会话密鈅。这会建立一个可从一台机器移到另一台机器的值。不提供此参数，返回值仅在此机器/会话中有效。

下面是如何使用 CryptDeriveKey 函数的例子，假定 pPassword 指向一个用户指定的密码， dwPasswordLength 为密码长度。

加密与解密数据：CryptEncrypt, CryptDecrypt

简单来说，尽管不全对，加密API 处理数据是围绕两个函数—加密(CryptEncrypt) 与解密(CryptDecrypt)。

这两个函数非常易用，但需要对其参数进行一下说明 ：

每个函数的头六个参数是相同的

头两个参数仅是密鈅句柄和一个可选的散列对象

第三个参数是一个布尔值，此值在最后一块数据块之前保持为FALSE，为让函数对最后一块数据进行特殊处理，在最后一块数据时置为TRUE

第四与第五个参数是标志值和一个指向加密或解密数据的指针

第六个参数是缓冲区中待加密字符的数量
第七个参数通常与第六个参数相同，它指出数据块长度。这是因为对于许多算法来说，加密数据尺寸与解密数据尺寸是相同的。然而，某些算法增加加密数据的长度。在这种情况下，第五个参数中的缓冲区必须大到足以容纳额外的数据。
缓冲区长度的问题可以在加密前通过调用CryptEncrypt 函数返回需要缓冲区的尺寸来解决。下面的例子代码演示了这种技术。在这个例子中，某些值已假定之前已获得，我们仅要加密pData指向的缓冲区中dwDataLen字节长的数据。

同时进行加密与解密

当使用同一个密鈅进行加密或解密两个数据流时，必须采取一些措施。同一个物理会话密鈅不得被用于同一个操作，因为每个会话密鈅容器的内部状态信息在同时进行一个操作时会混乱。对此问题的简单解决办法是制作一份会话密鈅的拷贝。这样，原始密鈅进行一个操作，拷贝密鈅进行另一个操作。

制作一个会话密鈅的拷贝可以通过调CryptExportKey 导出密鈅，然后调CryptImportKey 将它导进来。密鈅导入后，CSP 会给这个“新”的密鈅分配自己的内部内存区域，就好象它跟原来的密鈅完全没有关联一样。