我有一个本地程序,需要通过命令行传递密码。该密码会显示在服务器日志中,因此我希望在放入命令行之前对其进行加密以混淆密码。然后在程序中解密并像以前一样使用它。 我使用powershell创建SecureString密码,然后使用ConvertFrom-SecureString将其转换为可打印的文本字符串。然后将该字符串传递到本地C ++程序的命令行。从那里,我将其解码回到二进制加密形式,然后再将其解密回原始明文密码。简单吧?
根据简单的文档,我认为ConvertFrom-SecureString会进行Base64编码,以使二进制SecureString变为可打印的文本。可以有人证实吗?我使用ATL :: Base64Decode()恢复二进制字节。与原始和解码后的前20个字节进行比较,这似乎有效。
之后,我试图解密SecureString字节。同样,某些文档似乎暗示SecureString加密是使用Machine Key(或User Session Key)完成的。基于此,我正在尝试使用DPAPI CryptUnprotectData方法进行解密。然而,我收到“(0x8007000d)数据无效”的解密失败。听起来这会奏效吗?如果是这样,请问我偏离了哪里的正确方向?
这是解密方法...
根据简单的文档,我认为ConvertFrom-SecureString会进行Base64编码,以使二进制SecureString变为可打印的文本。可以有人证实吗?我使用ATL :: Base64Decode()恢复二进制字节。与原始和解码后的前20个字节进行比较,这似乎有效。
之后,我试图解密SecureString字节。同样,某些文档似乎暗示SecureString加密是使用Machine Key(或User Session Key)完成的。基于此,我正在尝试使用DPAPI CryptUnprotectData方法进行解密。然而,我收到“(0x8007000d)数据无效”的解密失败。听起来这会奏效吗?如果是这样,请问我偏离了哪里的正确方向?
这是解密方法...
// Decrypts an encoded and encrypted string with DPAPI and Machine Key, returns the decrypted string
static HRESULT Decrypt(CStringW wsEncryptedBase64, OUT CStringW& wsPlainText)
{
HRESULT hr = S_OK;
DATA_BLOB dbIn = { 0 };
DATA_BLOB dbOut = { 0 };
const wchar_t *pos = wsEncryptedBase64.GetBuffer(wsEncryptedBase64.GetLength());
dbIn.cbData = wsEncryptedBase64.GetLength() / 2;
dbIn.pbData = (byte*)malloc(dbIn.cbData * sizeof(byte));
int num = 0;
for (size_t i = 0; i < dbIn.cbData; i += 1)
{
swscanf_s(pos, L"%2hhx", &num);
dbIn.pbData[i] = num;
pos += sizeof(wchar_t);
}
if (::CryptUnprotectData(&dbIn, NULL, NULL, NULL, NULL,
CRYPTPROTECT_UI_FORBIDDEN, &dbOut))
{
wsPlainText = CStringW(reinterpret_cast< wchar_t const* >(dbOut.pbData), dbOut.cbData / 2);
}
else
{
hr = HRESULT_FROM_WIN32(::GetLastError());
if (hr == S_OK)
{
hr = SEC_E_DECRYPT_FAILURE;
}
}
return hr;
}