关键点提供了一种在CSP之外存储密钥的方法。生成加密密钥部分指出,密钥始终保存在提供商内,以保护,应用程序只允许通过句柄访问密钥。那么,这个规则是一个例外。
使用CryptExportKey功能,通过从供应商导出现有密钥创建关键点。之后,可以使用CryptImportKey函数将关键blob导入到提供者(通常是不同计算机上的不同提供者)。这将在提供者中创建一个与导出的密钥重复的密钥。以这种方式,密钥块被用作将密钥从一个供应商安全地传送到另一个供应商的介质。
注意私钥不能导出也不能导入__他们【决不】离开CSP模块的安全。当公共/私人密钥对的句柄被传递到CryptExportKey时,只有公共部分被放置到键blob中。
关键blob由一个标准标题组成,后跟数据表示该键本身。如果密钥blob包含会话密钥,则该数据始终保持加密。应用程序通常不访问关键点的内部,而是将其视为不透明对象。这种不透明的质量是“关键斑点”的灵感。
关键点是个性化的,因为它们使用预期收件人的密钥交换公钥进行加密。这使他们相当安全。为了使其防篡改,有时会使用发起用户的密钥交换私钥对密钥进行签名。
目前有三种类型的关键点定义:
*公钥块
