Добрый день. Вызов PP_KEYEXCHANGE_PIN с нулем не предназначен для вывода окна аутентификации - он сбрасывает текущий пароль.

Если вы хотите гарантированно прогрузить ключи в память с аутентификацией, если она требуется, используйте CryptGetProvParam(PP_HCRYPTPROV) - это рекомендуемый путь.

Если вам нужно именно окно аутентификации вне зависимости от того, нужен провайдеру пароль или нет, нужно позвать CryptSetProvParam(PP_SET_PIN): он принимает аргументом указатель на структуру типа CRYPT_PIN_PARAM. Вам нужно в её поле установит значение CRYPT_PIN_QUERY.

1. Если уже есть контекст сертификата, то хэндл криптопровайдера с закрытым ключом (hProv) гораздо проще получить через CryptAcquireCertificatePrivateKey чем через CryptAcquireContext, так как: а) dwKeySpec для выбора ключа, соответсвующего именно этому сертификата в контейнере закрытого ключа определится автоматически и запишется в переменную (то место где в CryptGetUserKey жестко прописано AT_KEYEXCHANGE выдаст ошибку, если на самом деле выбранный сертификат соответвует ключу AT_SIGNATURE) и б) не нужно пользоваться константой PROV_RSA_FULL (мягко говоря подозрительной, когда речь о КриптоПро CSP). В формуляре 4.0.4944 функция CryptAcquireCertificatePrivateKey разрешена. Предположительно могут быть странности с определением контейнера по CRYPT_ACQUIRE_COMPARE_KEY_FLAG в редком случае наличия 2 доступных контейнеров с одним и тем же ключом, соответствующим выбранному сертификату и с разными пин-кодами (некоторые УЦ делают "резервную копию" контейнера на том же токене).

2. Конкретная последовательность действий зависит от Вашей задачи - при создании хэша CryptCreateHash параметр ключа hKey необязательный. Как сказано в справке Майкрософт ключ должен быть ненулевой только для алгоритмов, которые требуют ключа шифрования блока (MAC HMAC алгоритмы), а для алгоритмов не требующих ключа параметр устанавливается в 0. Получается ошибка означает либо а) алгоритм не требует ключа (из исходника не видно значения alg, поэтому неизвестно требует ли) либо б) ключ не подходит для alg. Для вычисления хэша/подписи по алгоритму ГОСТ 34.11-94/34.10-2001 (alg хэша=32798=$801E) hKey устанавливается в 0.

3. Для информации: в общем случае для получения хэндла открытого ключа по контексту сертификата даже не нужно запрашивать контейнер закрытого ключа, так как открытый ключ уже указан в сертификате - можно создать CryptAcquireContext с указанием VERIFYCONTEXT и импортировать в него через CryptImportPublicKeyInfo блоб открытого ключа из контекста как @(pCertContext^.pCertInfo^.SubjectPublicKeyInfo). Опять же без обращения к hProv отпадает необходимость в определении AT_KEYEXCHANGE или AT_SIGNATURE. Также может понадобится если нужно зашифровать сообщение открытым ключом получателя, так как отправитель в этом случае не имеет доступа к контейнеру закрытого ключа получателя.

Отредактировано пользователем 13 сентября 2018 г. 8:20:03(UTC)  | Причина: уточнение