对于每个用户,CSP通常维护两个公钥/私钥对。这些密钥从会话到会话维护。
【密钥交换密钥对】(也称为【交换密钥】)用于加密会话密钥,以便与其他用户安全地进行存储和交换。(这在交换加密密钥一节中有详细的讨论。)
【数字签名密钥对】(也称为【签名密钥】)用于签名数据散列。这在哈希和数字签名部分中有详细的讨论。)
有两个单独的键对有很多原因。例如,一些CSP可以选择使用一种算法进行密钥交换,另一种用于数字签名。这是因为一些数字签名算法不适用于加密或密钥交换,反之亦然。此外,如果一些数据(例如会话密钥)都被签名并使用相同的公钥对进行了加密,那么可能会引入使数据易受攻击的微妙弱点。
通过调用CryptGenKey函数并指定AT_KEYEXCHANGE或AT_SIGNATURE来创建交换密钥和签名密钥对。CSP以独立于应用的方式实现这些密钥。应用程序不允许知道所使用的算法的细节。
