Хранилище криптографических ключей и Exchange
Существуют ситуации, когда ключи необходимо экспортировать из безопасной среды поставщика служб шифрования (CSP) в пространство данных приложения. Экспортированные ключи хранятся в зашифрованных структурах BLOB-объектов ключей .
Существует две конкретные ситуации, когда необходимо экспортировать ключи:
- Чтобы сохранить ключ сеанса для последующего использования приложением, например, если приложение только что зашифровывает файл базы данных для расшифровки позже. Приложение отвечает за хранение ключа шифрования. Это необходимо, так как поставщики служб конфигурации не сохраняют симметричные ключи из сеанса в сеанс.
- Отправка ключа другому пользователю. Это было бы проще, если бы соответствующие CSP могли взаимодействовать напрямую, но не могут. Так как поставщики служб конфигурации не могут обмениваться данными, ключ должен быть экспортирован из одного поставщика служб CSP, передан в целевое приложение, а затем импортирован в целевой поставщик служб CSP. Этот процесс может усложняться, если коммуникационный путь не является доверенным.
В любом случае приложение должно хранить ключ сеанса за пределами CSP в течение определенного периода времени. Дополнительные сведения см. в разделе Процедура хранения ключа сеанса.