未能使用提供程序 "RsaProtectedConfigurationProvider" 进行解密 的解决办法 如何使用 Enterprise Library 3.0 的Cryptography Application Block 处理加密
本文不演示如何使用配置工具对配置区进行加密,也不演示如何导出导入 key 文件,而主要解决两个问题:
1.我们使用配置工具对配置区进行加密后,(通常 configProtectionProvider有两种选择,一个是RsaProtectedConfigurationProvider,一个是DataProtectionConfigurationProvider),在本机使用正常,但是如果换到其它机器上,再用配置工具,就无法打开。使用RsaProtectedConfigurationProvider的,报的错误如下:未能使用提供程序"RsaProtectedConfigurationProvider" 进行解秘密。
2.我们使用Cryptography Application Block 的加密处理块后,创建了一个Symmetric Providers,并使用了 DESCryptoServiceProvider 提供的算法,这个过程中产生了一个key 文件。但是这个 key 文件复制的其他机器是无效的(后面解释原因)。当然,我们可以通过现在本机导出的key的方式,然后在其他机器上导入 key 文件。但是这样只解决了开发人员之间要使用相同的key文件的问题。对于部署到客户端,则不行。因为我们不大可能去客户端上安装 Enterprise Library 3.0,更不可能在安装程序后,再来手工配置这个 key。(因为这样明显增加了安装程序的复杂性,而安装程序的人很可能就不是专业人员。)
首先声明一点,打算在 protectedKeyFilename 中使用相对路径的想法不是太行的通!为什么这么说呢?因为key 文件无法直接复制到其他机器上。当我们去每台机器上配置 key 文件(包括创建新的key或者导入key,均需要保存 key的绝对路径的位置),我们已经知道了绝对路径,所以没有必要去用相对路径! David Hayden在回答一位网友关于为什么不使用相对路径中说到:I would have thought that relative paths wouldbe fine, but I pulled this from the documentation within the sectionManaging and Distributing Keys which is pretty specific about the needfor absolute paths .... The Cryptography Application Block stores eachkey in a separate file on the local computer....他的意思说:虽然我本来认为相对路径将会是巧妙的,(实际上却不是这样),但是我将它从文档中“管理和分发 key文件”的部分移开了,并在这个部分中相当明确地说明需要使用绝对路径 ... 加密应用程序块为每个 key文件在本地计算机中存储了一个独立的文件。(原文见http://www.codeplex.com/entlib/Thread/View.aspx?ThreadId=9834)
上面一大段废话浓缩成成一句:既然是 key文件都与本地计算机相关了,那相对路径自然意义就不大了(不敢说绝对没有意义). key文件无法直接复制到其他机器上的原因是对这个密钥文件又使用 DPAPI (Windows 数据保护) 进行加密。使用了 DPAPI进行加密的数据只能在特定的计算机上使用,换个机器当然就不行了!因为你加密的时候使用了当前计算机和登陆到该计算机的用户的信息。
所以顺便提一点:产生 key 文件的过程中有个选择项, 一个是用户模式,一个是机器模式。用户模式是登陆到该计算机的用
户才能使用这个 key文件,机器模式当然就是只要是这个计算机上的用户都可以使用这个 key 文件。比如部署 WebForms 的
WebSite 需要使用机器模式,至于WinForms的部署,如果不能确认计算机上只有一个帐户会使用你部署的软件,还是使用机器模式吧
!
针对第一个问题的解决方案:
如果想将一个配置文件(比如web.config, App.config)在一台计算机加密后,在其他计算机上都能使用,就达到了我们的目的。
说到对配置文件加密,自然要提到它们两个:
DPAPIProtectedConfigurationProvider。使用 Windows 数据保护 API (DPAPI)对数据进行加密和解密。
RsaProtectedConfigurationProvider。使用 RSA 加密算法对数据进行加密和解密。
这两个提供程序都提供对数据的强加密;但是,如果打算在多台计算机上使用同一个加密配置文件,则只有使用RsaProtectedConfigurationProvider。因为这个才能导出用于对数据进行加密的加密密钥,并在另一台计算机上导入它们。
我们使用配置工具对配置文件的配置区进行加密时可以指定哪个ProtectedConfigurationProvider。很显然,在解决这个问题上,我们只能使用RsaProtectedConfigurationProvider。由于不同的计算机上RSA密钥容器是各不相同的,所以我们需要从一台计算机上导出一个RSA 密钥容器,然后导入其他计算机上!由于导入方式是可以用 DOS 命令实现,所以在部署上不存在问题!另外,由于.NETFramework 有个默认的RSA密钥容器,名称为 "NetFrameworkConfigurationKey",在machine.config文件可以看到这个默认的参数。
先提示以下:aspnet_regiis.exe 在C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727 下。C 盘是我的安装路径。所以使用 DOS命令要注意路径。(可以通过 开始菜单 -> 所有程序 -> Microsoft Visual Studio 2005 ->Visual Studio Tools -> Visual Studio 2005 命令提示 来打开使用 aspnet_regiis命令的 cmd 界面。)
步骤如下:
(1)在当前计算机上,导出 RSA密钥容器。(可以在导出文件前指定路径。)
aspnet_regiis -px "NetFrameworkConfigurationKey" D:\RSAkeys.xml -pri
(2)在当前计算机上,用企业库工具加密配置文件。ProtectedConfigurationProvider 只能选择
RsaProtectedConfigurationProvider。
(3)在部署的计算机上, 导入名为 "NetFrameworkConfigurationKey" 的 RSA 密钥容器。
aspnet_regiis -pi "NetFrameworkConfigurationKey" D:\RSAkeys.xml
(1)和(2)可以在当前计算机直接操作,(3)的 DOS 命令可以在部署时由程序中完成。
这样就完成了!
提示一下:有可能步骤(1)导出失败,它不能使用 -pri 这个参数,而这个参数是导出解密使用的信息!如果没有它,在其他机器上只能加密新的东西。那么解决方法如下:
(1)在当前计算机上, 创建新的 RSA 密钥容器,它的名称为: CustomKeys 。(这里有个用户级别和计算机级别的,下面的方式是创建计算机级别的,名字按照你的要求取)
aspnet_regiis -pc "CustomKeys" -exp
(2) 在当前计算机上, 向帐户授予访问权限
aspnet_regiis -pa "CustomKeys" "NT AUTHORITY\NETWORK SERVICE"
其他需要访问权限的帐户也应该被授权。
(3)在当前计算机上,导出 RSA密钥容器。(可以在导出文件前指定路径。)
aspnet_regiis -px "CustomKeys" D:\RSAkeys.xml -pri
(4)在当前计算机上,将machine.config(在C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CONFIG) 中keyContainerName = "NetFrameworkConfigurationKey" 替换为我们新创建的名称:keyContainerName = "CustomKeys"。
(5)在当前计算机上,用企业库工具加密配置文件。ProtectedConfigurationProvider只能选择 RsaProtectedConfigurationProvider。
(6)在部署的计算机上, 导入名为 "NetFrameworkConfigurationKey" 的 RSA 密钥容器。
aspnet_regiis -pi "NetFrameworkConfigurationKey" D:\RSAkeys.xml
顺便提一下删除 RSA密钥容器 的命令:
aspnet_regiis -pz "CustomKeys"
当你输入一个错误的命令,会显示帮助命令信息。另外提示: 以上命令如果使用复制的方式,一定要注意检查下划线和空格的位置!
针对第二个问题,提出两种解决方案:
方案一:
前面提到过,可以使用先导出key文件,然后再导入 key文件的方法解决,仅解决开发人员之间的需要,却不符合我们部署的实际需要!当然,如果你愿意在部署的机器上安装 Enterprise Library3.0,然后用它来重新配置加密文件,是非常简便的。下面提出符合实际部署需求的解决方法。
既然可以Enterprise Library 3.0通过手工的方式可以在部署的机器上导入 key 文件。这也意味我们可以通过编程的方式来部署的机器上导入 key 文件。因为手工导入也要通过程序来实现的。
那么,这部分代码去哪里找呢?Enterprise Library3.0不是提供了源代码的嘛,而且包括配置工具的源代码。在 C:\EntLib3Src\App Blocks 目录(我的安装目录)下EnterpriseLibrary 解决方案件文件,就是这个东西,我们可以从里面寻找一些蛛丝马迹。
这里举例只针对 symmetricCryptoProviders 部署 key 文件!
一、部署的新的key 文件步骤如下:
(1)创建一个新的 key 文件。
//-- 产生新的 key 文件
byte[] key = KeyManager.GenerateSymmetricKey(typeof(DESCryptoServiceProvider));
byte[] encryptedKey = ProtectedData.Protect(key, null, DataProtectionScope.CurrentUser);
Stream fs = null;
try
{
fs = new FileStream(keyFilePath, FileMode.Create);
KeyManager.Write(fs, encryptedKey, DataProtectionScope.CurrentUser);
fs.Flush();
}
finally
{
if (fs != null)
fs.Close();
}
(2)修改配置文件中 key 文件的路径。就是那个 protectedKeyFilename 属性。
/**//// <summary>
/// 修改配置文件中 key 路径,就是 protectedKeyFilename 的属性值
/// </summary>
/// <param name="keyFilePath">自定义 key 文件的路径</param>
private void ModifProtectedKeyFilename(string keyFilePath)
{
//从组节点读取
Configuration config = ConfigurationManager.OpenExeConfiguration(ConfigurationUserLevel.None);
if (config.HasFile)
{
ConfigurationSection configurationSection = config.Sections["securityCryptographyConfiguration"];
CryptographySettings cryptographySettings = configurationSection as CryptographySettings;
NameTypeConfigurationElementCollection<SymmetricProviderData,CustomSymmetricCryptoProviderData> elementCollection =cryptographySettings.SymmetricCryptoProviders;
SymmetricProviderData symmetricProviderData = elementCollection.Get("DESCryptoServiceProvider");
symmetricProviderData.ElementInformation.Properties["protectedKeyFilename"].Value = keyFilePath;
config.Save(ConfigurationSaveMode.Minimal);
}
}
但是,有人会问,用导出的密钥文件可以恢复开发时的 key 文件吗? 虽然创建一个新的 key文件的方式可以解决部署问题,但是就想使用通过编程的方式来恢复开发时的 key文件,比如我,就认这个死理。因为在部署前,我已经有了一些数据用这个 key加密了!当然,可以把所以数据放在部署后来初始化加密!:)所以开了玩笑!只是想开阔一下思路!进入正题:
二、恢复 key 文件步骤如下:
(1)恢复那个 key 文件。
//-- 恢复 key 文件
Stream fs = null;
//分发密钥文件名称:ExportKey.txt,密码:123456
using (Stream fileOut = File.OpenRead("ExportKey.txt"))
{
ProtectedKey protectedKey = KeyManager.RestoreKey(fileOut, "123456", DataProtectionScope.LocalMachine);
try
{
fs = new FileStream(keyFilePath, FileMode.Create);
KeyManager.Write(fs, protectedKey.EncryptedKey, DataProtectionScope.CurrentUser);
fs.Flush();
}
finally
{
if (fs != null)
fs.Close();
}
}
(2)修改配置文件中 key 文件的路径。就是那个 protectedKeyFilename 属性。
这个与(一)中的是一样的!
总结解决这个方案,思想很简单:创建一个新的或是恢复 key 文件,这样该 key 文件与部署的机器关联起来了,然后修改配置文件中 key 文件的路径。
我们现在来说说第二个解决方案!
方案二:
最初, 可能有这么一个想法,如果生成一个 key 文件,直接copy到任何计算机上都可以使用,那该多方便。下面,我就给出这种解决方案。
思想是:把随机生成的密钥放在 xml 文件中,然后xml文件通过嵌入的方式加入到程序集中,然后我们可以在一个通用加密解密类中通过反射的方式把密钥从 xml文件读出来,然后用来加密和解密。另外,我们可以通过一般的可逆加密方式对放在xml文件中的密钥进行加密解密。但是强调的是,这个方式的安全性不如上面的,毕竟放在 xml文件的密钥有被破解的风险。当然,这种方式在安全性要求不是特别高的系统还是可以采用的。
//-----------------------------------------------------------------------------------------
// 模块编号:
// 文件名: CustomCryptography.cs
// 描述: CustomCryptography 数据对称加密解密类
// 作者:ChenJie
// 编写日期:2007-5-30
// Copyright 2007
//-----------------------------------------------------------------------------------------
using System;
using System.Text;
using System.Reflection;
using System.IO;
using System.Xml;
using System.Security.Cryptography;
namespace CryptographyLib
{
/**//// <summary>
/// 自定义的数据对称加密解密类
/// </summary>
public class CustomCryptography : ICryptography
{
私有常量#region 私有常量
/**//// <summary>
/// 嵌入到本项目程序集中的 XML 文件
/// </summary>
private const string KEY_FILE = "CryptographyLib.SystemKey.config";
#endregion
实现接口的方法#region 实现接口的方法
/**//// <summary>
/// 加密字符串
/// </summary>
/// <param name="plainText">明文</param>
/// <returns>密文</returns>
public string EncryptData(string plainText)
{
string encryptData = string.Empty;
//创建一个新的 DES key.
DESCryptoServiceProvider key = new DESCryptoServiceProvider();
//设置数据加密标准 (DES) 算法的机密密钥和对称算法的初始化向量的值
byte[] Key = null;
byte[] IV = null;
GetKEYAndIV(out Key, out IV);
key.Key = Key;
key.IV = IV;
return EncryptData(plainText, key);
}
/**//// <summary>
/// 通过 DESCryptoServiceProvider 解密字符串
/// </summary>
/// <param name="decryptedText">密文</param>
/// <returns>明文</returns>
public string DecryptData(string decryptedText)
{
string decryptData = string.Empty;
//创建一个新的 DES key.
DESCryptoServiceProvider key = new DESCryptoServiceProvider();
//设置数据加密标准 (DES) 算法的机密密钥和对称算法的初始化向量的值
byte[] Key = null;
byte[] IV = null;
GetKEYAndIV(out Key, out IV);
key.Key = Key;
key.IV = IV;
return DecryptData(decryptedText, key);
}
/**//// <summary>
/// 使用 MD5 加密字符串
/// </summary>
/// <param name="plainText">明文</param>
/// <returns>密文</returns>
public string EncryptDataByHash(string plainText)
{
HashAlgorithm hashCryptoService = new SHA1Managed();
byte[] bytIn = UTF8Encoding.UTF8.GetBytes(plainText);
byte[] bytOut = hashCryptoService.ComputeHash(bytIn);
return Convert.ToBase64String(bytOut);
}
/**//// <summary>
/// 比较 MD5 加密字符串
/// </summary>
/// <param name="plainText">明文</param>
/// <param name="hashedText">要比较的 hash 值</param>
/// <returns>是否相同,是则返回 true, 否则返回 false</returns>
public bool CompareHash(string plainText, string hashedText)
{
bool compare = false;
string encryptData = EncryptDataByHash(plainText);
compare = encryptData.Equals(hashedText);
return compare;
}
#endregion
私有方法#region 私有方法
/**//// <summary>
/// 加密字符串
/// </summary>
/// <param name="plainText">明文</param>
/// <param name="key">对称算法的的抽象基类</param>
/// <returns>密文</returns>
private string EncryptData(string plainText, SymmetricAlgorithm key)
{
string encryptData = string.Empty;
byte[] plainTextBytes = Encoding.UTF8.GetBytes(plainText);
/**/////---------- 方法一 ----------------------------
////创建一个 MemoryStream 对象
//MemoryStream ms = new MemoryStream();
/**///// 创建一个加密流
//CryptoStream encStream = new CryptoStream(ms, key.CreateEncryptor(), CryptoStreamMode.Write);
/**///// 创建一个 StreamWriter 对象
//StreamWriter sw = new StreamWriter(encStream);
//sw.WriteLine(plainText);
//sw.Close();
//encryptData = Convert.ToBase64String(ms.ToArray());
//ms.Close();
/**/////---------- 方法一 结束 ----------------------------
//---------- 方法二 ----------------------------
MemoryStream ms = new MemoryStream();
CryptoStream cs = new CryptoStream(ms, key.CreateEncryptor(), CryptoStreamMode.Write);
cs.Write(plainTextBytes, 0, plainTextBytes.Length);
cs.FlushFinalBlock();
encryptData = Convert.ToBase64String(ms.ToArray());
//---------- 方法二 结束 ----------------------------
//清空数组中的内容
Array.Clear(plainTextBytes, 0, plainTextBytes.Length);
return encryptData;
}
/**//// <summary>
/// 解密字符串
/// </summary>
/// <param name="decryptedText">密文</param>
/// <param name="key">对称算法的的抽象基类</param>
/// <returns>明文</returns>
private string DecryptData(string decryptedText, SymmetricAlgorithm key)
{
string decryptData = string.Empty;
byte[] decryptedByteArray = Convert.FromBase64String(decryptedText);
/**/////---------- 方法一 ----------------------------
////为解密字符串创建一个 MemoryStream 对象
//MemoryStream ms = new MemoryStream(decryptedByteArray);
/**/////创建一个 CryptoStream 对象
//CryptoStream encStream = new CryptoStream(ms, key.CreateDecryptor(), CryptoStreamMode.Read);
/**///// 创建一个 StreamReader 对象
//StreamReader sr = new StreamReader(encStream);
//decryptData = sr.ReadLine();
//sr.Close();
//encStream.Close();
//ms.Close();
/**/////---------- 方法一 结束 ----------------------------
