NCryptExportKey 函数将 CNG 密钥导出到内存 BLOB。
语法
SECURITY_STATUS NCryptExportKey(
[in] NCRYPT_KEY_HANDLE hKey,
[in, optional] NCRYPT_KEY_HANDLE hExportKey,
[in] LPCWSTR pszBlobType,
[in, optional] NCryptBufferDesc *pParameterList,
[out, optional] PBYTE pbOutput,
[in] DWORD cbOutput,
[out] DWORD *pcbResult,
[in] DWORD dwFlags
);
参数
[in] hKey
要导出的密钥的句柄。
[in, optional] hExportKey
目标用户的加密密钥的句柄。 导出的密钥 BLOB 中的密钥数据使用此密钥进行加密。 这可确保只有目标用户能够使用密钥 BLOB。
[in] pszBlobType
一个以 null 结尾的 Unicode 字符串,其中包含指定要导出的 BLOB 类型的标识符。 这可以是以下值之一。
BCRYPT_DH_PRIVATE_BLOB
导出 Diffie-Hellman 公钥/私钥对。 pbOutput 缓冲区立即接收BCRYPT_DH_KEY_BLOB结构,后跟密钥数据。
BCRYPT_DH_PUBLIC_BLOB
导出 Diffie-Hellman 公钥。 pbOutput 缓冲区立即接收BCRYPT_DH_KEY_BLOB结构,后跟密钥数据。
BCRYPT_DSA_PRIVATE_BLOB
导出 DSA 公钥/私钥对。 pbOutput 缓冲区立即接收BCRYPT_DSA_KEY_BLOB结构,后跟密钥数据。
BCRYPT_DSA_PUBLIC_BLOB
导出 DSA 公钥。 pbOutput 缓冲区立即接收BCRYPT_DSA_KEY_BLOB结构,后跟密钥数据。
BCRYPT_ECCPRIVATE_BLOB
导出 椭圆曲线加密 (ECC) 私钥。 pbOutput 缓冲区立即接收BCRYPT_ECCKEY_BLOB结构,后跟密钥数据。
BCRYPT_ECCPUBLIC_BLOB
导出 ECC 公钥。 pbOutput 缓冲区立即接收BCRYPT_ECCKEY_BLOB结构,后跟密钥数据。
BCRYPT_MLKEM_PUBLIC_BLOB
BLOB 是一个 ML-KEM BLOB,它提供每个 FIPS 203 的标准字节编码 ML-KEM 封装密钥的导入和导出。 pbOutput 缓冲区必须包含包含字节编码的 KEM 封装键、BCRYPT_MLKEM_PUBLIC_MAGIC和 ML-KEM 参数集的BCRYPT_MLKEM_KEY_BLOB结构。
BCRYPT_MLKEM_PRIVATE_BLOB
BLOB 是一个 ML-KEM BLOB,它提供每个 FIPS 203 的标准字节编码 ML-KEM 解封密钥的导入和导出。 pbOutput 缓冲区必须包含一个BCRYPT_MLKEM_KEY_BLOB结构,其中包含字节编码的 KEM 解封键、BCRYPT_MLKEM_PRIVATE_MAGIC和 ML-KEM 参数集。
BCRYPT_MLKEM_PRIVATE_SEED_BLOB
BLOB 是一个 ML-KEM BLOB,它为每个 FIPS 203 提供 ML-KEM 种子的导入和导出。 pbOutput 缓冲区必须包含包含 KEM 种子、BCRYPT_MLKEM_SEED_MAGIC和 ML-KEM 参数集的BCRYPT_MLKEM_KEY_BLOB结构。
BCRYPT_PQDSA_PUBLIC_BLOB
BLOB 是 ML-DSA、SLH-DSA、LMS 或 XMSS BLOB,提供每个 FIPS 204 和 205 PQ 数字签名公钥的导入和导出。 pbOutput 缓冲区必须包含包含密钥材料、公共 magic 和 PQ 参数集的BCRYPT_PQDSA_KEY_BLOB结构。
BCRYPT_PQDSA_PRIVATE_BLOB
BLOB 是 ML-DSA、SLH-DSA、LMS 或 XMSS BLOB,它提供每个 FIPS 204 和 205 PQ 数字签名私钥的导入和导出。 pbOutput 缓冲区必须包含包含密钥材料、专用 magic 和 PQ 参数集的BCRYPT_PQDSA_KEY_BLOB结构。
BCRYPT_PQDSA_PRIVATE_SEED_BLOB
BLOB 是 ML-DSA、SLH-DSA、LMS 或 XMSS BLOB,提供每个 FIPS 204 和 205 PQ 数字签名专用种子的导入和导出。 pbOutput 缓冲区必须包含一个BCRYPT_PQDSA_KEY_BLOB结构,其中包含种子值、专用种子 magic 和 PQ 参数集。
BCRYPT_PUBLIC_KEY_BLOB
导出任何类型的通用公钥。 此 BLOB 中的密钥类型由BCRYPT_KEY_BLOB结构的 Magic 成员确定。
BCRYPT_PRIVATE_KEY_BLOB
导出任何类型的通用私钥。 私钥不一定包含公钥。 此 BLOB 中的密钥类型由BCRYPT_KEY_BLOB结构的 Magic 成员确定。
BCRYPT_RSAFULLPRIVATE_BLOB
导出完整的 RSA 公钥/私钥对。 pbOutput 缓冲区立即接收BCRYPT_RSAKEY_BLOB结构,后跟密钥数据。 与 BCRYPT_RSAPRIVATE_BLOB 类型相比,此 BLOB 将包含其他密钥材料。
BCRYPT_RSAPRIVATE_BLOB
导出 RSA 公钥/私钥对。 pbOutput 缓冲区立即接收BCRYPT_RSAKEY_BLOB结构,后跟密钥数据。
BCRYPT_RSAPUBLIC_BLOB
导出 RSA 公钥。 pbOutput 缓冲区立即接收BCRYPT_RSAKEY_BLOB结构,后跟密钥数据。
LEGACY_DH_PRIVATE_BLOB
导出旧 版Diffie-Hellman 版本 3 私钥 BLOB ,其中包含可以使用 CryptoAPI 导入的 Diffie-Hellman 公钥/私钥对。
LEGACY_DH_PUBLIC_BLOB
导出旧 版Diffie-Hellman 版本 3 私钥 BLOB ,其中包含可以使用 CryptoAPI 导入的 Diffie-Hellman 公钥。
LEGACY_DSA_PRIVATE_BLOB
以可以使用 CryptoAPI 导入的形式导出 DSA 公钥/私钥对。
LEGACY_DSA_PUBLIC_BLOB
使用 CryptoAPI 以可导入的形式导出 DSA 公钥。
LEGACY_RSAPRIVATE_BLOB
以可以使用 CryptoAPI 导入的形式导出 RSA 公钥/私钥对。
LEGACY_RSAPUBLIC_BLOB
使用 CryptoAPI 以可导入的形式导出 RSA 公钥。
NCRYPT_CIPHER_KEY_BLOB
在 NCRYPT_KEY_BLOB_HEADER 结构中导出密码密钥。
Windows 8 和 Windows Server 2012: 开始支持此值。
NCRYPT_OPAQUETRANSPORT_BLOB
以特定于单个 CSP 的格式导出密钥,适合传输。 不透明 BLOB 不可传输,必须使用生成 BLOB 的同一 CSP 导入。
NCRYPT_PKCS7_ENVELOPE_BLOB
导出 PKCS #7 信封 BLOB。 pParameterList 参数标识的参数可以或必须包含以下参数,如必需列或可选列指示。
| 参数 | 必需还是可选 |
|---|---|
| NCRYPTBUFFER_CERT_BLOB | 必选 |
| NCRYPTBUFFER_PKCS_ALG_OID | 必选 |
| NCRYPTBUFFER_PKCS_ALG_PARAM | 可选 |
NCRYPT_PKCS8_PRIVATE_KEY_BLOB
导出 PKCS #8 私钥 BLOB。 pParameterList 参数标识的参数可以或必须包含以下参数,如必需列或可选列指示。
| 参数 | 必需还是可选 |
|---|---|
| NCRYPTBUFFER_PKCS_ALG_OID | 可选 |
| NCRYPTBUFFER_PKCS_ALG_PARAM | 可选 |
| NCRYPTBUFFER_PKCS_SECRET | 可选 |
NCRYPT_PROTECTED_KEY_BLOB
在 NCRYPT_KEY_BLOB_HEADER 结构中导出受保护的密钥。
Windows 8 和 Windows Server 2012: 开始支持此值。
[in, optional] pParameterList
接收密钥参数信息的 NCryptBufferDesc 结构的地址。 如果不需要此信息,此参数可以为 NULL 。
[out, optional] pbOutput
接收密钥 BLOB 的缓冲区的地址。 cbOutput 参数包含此缓冲区的大小。 如果此参数为 NULL,则此函数会将所需的大小(以字节为单位)放置在由Result 参数指向的 DWORD 中。
[in] cbOutput
pbOutput 缓冲区的大小(以字节为单位)。
[out] pcbResult
接收复制到 pbOutput 缓冲区的字节数的 DWORD 变量的地址。 如果 pbOutput 参数为 NULL,此函数会将所需的大小(以字节为单位)放置在此参数指向的 DWORD 中。
[in] dwFlags
修改函数行为的标志。 这可以是零,也可以是以下一个或多个值的组合。 有效标志集特定于每个密钥存储提供程序。 以下标志适用于所有提供程序。
| 价值 | 含义 |
|---|---|
| NCRYPT_SILENT_FLAG | 请求密钥服务提供商(KSP)不显示任何用户界面。 如果提供程序必须显示要运行的 UI,调用将失败,KSP 应将 NTE_SILENT_CONTEXT 错误代码设置为最后一个错误。 |
返回值
返回一个状态代码,指示函数的成功或失败。
可能的返回代码包括但不限于以下代码。
| 返回代码 | DESCRIPTION |
|---|---|
| ERROR_SUCCESS | 函数成功。 |
| NTE_BAD_FLAGS | dwFlags 参数包含无效的值。 |
| NTE_BAD_KEY_STATE | hKey 参数指定的键无效。 此错误的最常见原因是未使用 NCryptFinalizeKey 函数完成密钥。 |
| NTE_BAD_TYPE | hKey 参数指定的密钥不能导出到 pszBlobType 参数指定的 BLOB 类型。 |
| NTE_INVALID_HANDLE | hKey 或 hExportKey 参数无效。 |
| NTE_INVALID_PARAMETER | 一个或多个参数无效。 |
注解
服务不得从其 StartService 函数调用此函数。 如果服务从 其 StartService 函数调用此函数,可能会发生死锁,并且服务可能会停止响应。
要求
| 要求 | 价值 |
|---|---|
| 最低支持的客户端 | Windows Vista [桌面应用 |UWP 应用] |
| 支持的最低服务器 | Windows Server 2008 [桌面应用 |UWP 应用] |
| 目标平台 | Windows操作系统 |
| 标头 | ncrypt.h |
| 图书馆 | Ncrypt.lib |
| DLL | Ncrypt.dll |