問題タブ [cryptoapi]

私は最近、Microsoft CryptoAPI の問題に対する非常にわかりにくい解決策を見つけました。(一見関係のない) CREDHIST ファイルの読み取り専用フラグが原因で、CryptAcquireContext() から上に向かって、CryptoAPI スタック全体が非常に不適切な動作をしていました。より大きな公益のために、これが所属する MS KB に文書化されることを望みます。

MS KB に関する私の過去のエクスプロイトから、見知らぬ人が記事を提出することになっていないことがわかっています。MS の従業員と請負業者のみが行います。そこで、私に代わって記事を提出してくれる MS 関連のスポンサーを探しています。クレジットは関係ありません。とにかく記事は匿名です。

完全な記事はこちら: http://social.msdn.microsoft.com/Forums/en/windowssecurity/thread/11b08625-b432-4667-ab82-a7e0ed008fc3

具体的には、リモートアシスタンスチケットのPassStubフィールドを生成しようとしています。問題は、私の結果がバイナリデータのように見えるのに、どういうわけかMicrosoftが印刷可能な文字を生成することです。

[MS-RAI]：リモートアシスタンス開始プロトコル仕様<16>セクション6：Microsoftは、「PassStub」フィールドは「MD5ハッシュとCALG_RC4、RC4ストリーム暗号化アルゴリズムを備えたPROV_RSA_FULL事前定義暗号化プロバイダーを使用して暗号化される」と述べています。

ここにデータフロー図があります：http： //msdn.microsoft.com/en-us/library/cc240189（PROT.10） .aspx＃id16

この図は、ハッシュ化されたパスワードが次のような「RASessionID」で暗号化されていることを示しています。u0RIQibSMntm0wAHQZ2mhatI63sjMjX15kh/ vnciytOix8z6w + 36B01OiJoB5uYe

CryptEncryptを呼び出すと、SessionIDの長さに関するバイナリデータが生成されます。Microsoftはどういうわけか次のようなものを取得します： "Po ^ 1BiNrHBvHGP"

これを行うために私が使用しようとしているコードは次のとおりです。

名前キー コンテナーでキーを生成した Windows 7 を実行している一部のシステムで、ユーザーのパスワードを変更すると、CryptAcquireCertificatePrivateKey() を呼び出すと、エラー CRYPT_E_NO_KEY_PROPERTY (0x8009200B) が発生します。

これは、すべてのボックスで発生するわけではありません。当初、これはネットワーク上にないドメイン マシンが原因であると考えられていたため、ドメインの内容を更新できませんでしたが、一部のスタンドアロン マシンで再現することができました。

キーを読み取るための私のコード

キー/キーコンテナを生成するコードは次のとおりです

サーバーとクライアントの間で証明書ベースの認証を使用しています。ルート証明書を生成しました。クライアントはインストール時に新しい証明書を生成し、ルート証明書を使用して署名します。Windows API を使用する必要があります。makecert などの Windows ツールは使用できません。

これまで、ルート証明書をストアにインストールできました。以下のコード

次に、インストールされたルート証明書を開いてコンテキストを取得します

最後に証明書を作成し、pKeyInfo で署名します。

上記のコードで証明書を作成できますが、ルート証明書によって署名されているようには見えません。私がしたことが正しいかどうかはわかりません..どんな助けでも大歓迎です..

ありがとうアシフ

http://forums.macrumors.com/showthread.php?t=551476での議論によると、以下のコードは RSA 暗号化に適しています。キー ("public") のデータ型は SecKeyRef です。ただし、キーが公開されていて秘密ではない暗号化にのみ関心があるため、キーチェーンは使用しません。その場合、暗号APIを使用することさえ可能ですか? 私の現在の考えは、公開鍵のみから SecKeyRef 構造体を構築し、API を使用することです。ただし、構造体がどのように宣言されているかはわかりません。誰か知っていますか？私のアプローチはうまくいくと思いますか？

暗号化の問題にopensslまたはwindows capiを使用する方が良いですか?両方の長所と短所のリストは何ですか? 私の暗号化プログラムをopensslに書き、Windows capiで問題なく復号化できるか、これに問題がある場合。

JavaScript でクライアント証明書を使用してデジタル署名を作成するために、機能しない crypto.signtext() 関数がありました。

今これを行う最も簡単な方法は何ですか？

次の方法でファイルをデコードしています。

これは私のWin7開発マシンでは正常に機能していますが、Windows 2003サーバーの実稼働マシンでは、次の例外を除いて失敗します。

例外：System.Exception：CryptMsgUpdateエラー＃-2146893816 ---> System.ComponentModel.Win32Exception：無効なアルゴリズムが指定されました---内部例外スタックトレースの終わり--- LargeCMS.CMS.Decode（FileStream inFile、FileStream outFile）で

以下は、デコードを行うために呼び出すクラスです。必要に応じて、デコード用のサンプルファイルをアップロードできます。これは、Win2k3サーバーではなく、Win7で機能するという奇妙なことです。

と

Microsoft CryptoAPI のテスト アプリケーションを作成しています。2 番目のパーティの公開鍵を使用して一方のパーティの秘密鍵をエクスポートし、その秘密鍵を 2 番目のパーティの秘密鍵としてインポートします (これにより、通信用の共有秘密鍵が設定されます)。これが私のコードです：

そして、これはエラーを与えます:

公開鍵ペアは、次の呼び出しによって、encryptT と decryptT (送信者、受信者) の両方に対して生成されます。

エラーの原因は何ですか？

ありがとう、

私はcryptoAPIに大きな問題を抱えていますが、Windows用のサードパーティ/より良いソリューションはありますか？

私がCryptoAPIで抱えている主な問題は、OSに十分に依存していないことです。Windows2003およびWindows2008+で動作させるための適切なバランスが、コードに見つかりません。

私が本質的に達成したいことは、ここで読むことができます。これは、この段階での暗号化の唯一の使用法です。