Re[3]: CryptoAPI + хранение ключей... - WIN API

Подскажите, может кто сталкивался...
Необходимо организовать хранение ключей на съемном носителе....
Пробовал такой вариант: стандартный провайдер со стандартным контейнером + экспорт/импорт ключей, но:
1. мне нужно хранить (экспортировать на внешний носитель) пару ключей, как приватную часть так и публичную не шифруя приватную часть, насколько я понял стандартный криптопровайдер этого не допускает? т.е. я пишу так

CryptExportKey(fExchangeKey,0,PRIVATEKEYBLOB,0, @pKeyRec^.Data, @pKeyRec.Size)

где
fExchangeKey: HCRYPTKEY — указатель на экспортируемую ключевую пару
@pKeyRec^.Data: array [0..1023] of Byte — буфер адрессат
@pKeyRec.Size: WORD — размер экспортируемых данных

синтаксис Паскалевский, но сути не меняет. Далее уничтожаю ключи в контейнере. А когда мне необходимо я подгружаю в контейнер
экспортированную пару

CryptImportKey(hProv,@pKeyRec^.Data,pKeyRec^.Size,0,CRYPT_EXPORTABLE,@fExchangeKey)

и тут возникает ошибка NTE_BAD_VER. Я так понимаю потому что при экспорте не был указан второй параметр.

2. даже если удасться решить первую проблему есть вторая. Хранение ключей должно быть реализовано на флешке, что бы человек мог переходить от одного терминала к другому и везде мог работать, при этом сохраняя личный ключ в тайне. Но если пользователь вытащит флешку в тот момент когда ключи импортированы в криптоконтейнер, то программа не сможет произвести экспорт на флешку, а там помимо личных ключей должен храниться пул открытых ключей всех остальных пользователей. Пул при каждом сеансе работы должен синхронизироваться с центральным сервером. Можно ли провайдер "заставить" хранить контейнер на флешке?

Может немного путанно, извените... Всем заранее спасибо.

Дело говорите.
В MS так всё и организовано, как вам нужно.
Служба безопасноти всем выдаёт именно жёсткий носитель, но какие они криптопровайдеры для этого юзают — тут мне узнать это пока не удаётся)

И вопрос очень актуальный и для меня.

И еще один вопрос, можно ли средствами Crypto API создать структуру сертификата открытого ключа и/или произвести его подписывание... по сути нужно написать что-то что будет работать как СА предприятия... Поинимаю что MS это уже реализовало, но за это надо платить денюжку, а мне нужно реализовать систему ЭДО на предприятии...

Все... кажисть разобрался.

Спасибо всем

Здравствуйте, firefox, Вы писали:
F>Все... кажисть разобрался.

Спасибо всем

А с обществом поделится достежениями?

	От:	firefox
	Дата:	09.03.07 20:05
	Оценка:

	От:	Norex
	Дата:	11.03.07 08:08
	Оценка:

	От:	firefox
	Дата:	11.03.07 11:35
	Оценка:

	От:	firefox
	Дата:	11.03.07 19:10
	Оценка:

	От:	Norex
	Дата:	12.03.07 05:04
	Оценка: