Функции расшифрования

C_DecryptInit, C_Decrypt, C_DecryptUpdate и C_DecryptFinal

Предупреждение

При шифровании с использованием механизма CKM_GOST28147_ECB длина данных должна быть кратной 8 байт.

Примечание

Функции C_Decrypt(), C_DecryptUpdate() и C_DecryptFinal() не возвращают предусмотренного стандартом PKCS #11 кода ошибки CKR_ENCRYPTED_DATA_INVALID (недопустимые зашифрованные данные).

C_DecryptInit(CK_SESSION_HANDLE hSession, CK_MECHANISM_PTR pMechanism, CK_OBJECT_HANDLE hKey)
Параметры:
  • hSession (in) – дескриптор сеанса.
  • pMechanism (in) – указатель на механизм.
  • hKey (in) – дескриптор ключа расшифрования.

Инициализирует и задает параметры для операции расшифрования (по ГОСТ 28147-89). Поддерживается как аппаратное, так и программное расшифрование.

Механизм расшифрования задаётся в поле mechanism структуры CK_MECHANISM. Для расшифрования библиотека Cryptoki поддерживает механизмы, перечисленные ниже.

  • Криптотокен
    • CKM_GOST28147 (0x00001221) – механизм для симметричного шифра в режиме ECB по стандарту ГОСТ 28147-89.
    • CKM_GOST28147 (0x00001222) – механизм для симметричного шифра в режиме CFB по стандарту ГОСТ 28147-89.
  • Laser
    • CKM_RSA_PKCS (0x00000001) – механизм для ассиметричного шифра RSA. Также используется для ЭП.
    • CKM_RSA_PKCS_OAEP (0x00000009) – механизм для ассиметричного шифра RSA с использованием OAEP.
    • CKM_DES3_ECB (0x00000132) – механизм для симметричного шифра triple-DES в режиме ECB.
    • CKM_DES3_CBC (0x00000133) – механизм для симметричного шифра triple-DES в режиме CBC.
    • CKM_AES_ECB (0x00001081) – механизм для симметричного шифра AES в режиме ECB.
    • CKM_AES_CBC (0x00001082) – механизм для симметричного шифра AES в режиме CBC.

Запускается в режимах

Результат:
  • CKR_CRYPTOKI_NOT_INITIALIZED – функция не может быть выполнена, т.к. библиотека Cryptoki еще не была инициализирована (см. C_Initialize()).
  • CKR_DEVICE_ERROR – возникла проблема с токеном и/или слотом.
  • CKR_DEVICE_MEMORY – памяти токена недостаточно для данной операции.
  • CKR_DEVICE_REMOVED – токен был изъят из слота.
  • CKR_FUNCTION_CANCELED – функция была отменена в момент исполнения.
  • CKR_FUNCTION_FAILED – выполнение функции было прервано или она не может быть выполнена.
  • CKR_GENERAL_ERROR – общий сбой при работе с библиотекой.
  • CKR_HOST_MEMORY – компьютер, на котором запущена библиотека, не имеет достаточно памяти для выполнения функции.
  • CKR_KEY_FUNCTION_NOT_PERMITTED – атрибуты ключа не позволяют его использование данным образом.
  • CKR_KEY_HANDLE_INVALID – недопустимый дескриптор ключа.
  • CKR_KEY_SIZE_RANGE – размер ключа лежит за пределами, поддерживаемыми библиотекой Cryptoki.
  • CKR_KEY_TYPE_INCONSISTENT – данный ключ невозможно использовать с указанным механизмом.
  • CKR_MECHANISM_INVALID – недопустимый механизм.
  • CKR_MECHANISM_PARAM_INVALID – недопустимый параметр механизма.
  • CKR_OK – функция выполнена успешно.
  • CKR_OPERATION_ACTIVE – на устройстве уже есть активная операция, что не позволяет начать новую операцию.
  • CKR_SESSION_CLOSED – сеанс был закрыт в момент выполнения функции.
  • CKR_SESSION_HANDLE_INVALID – недопустимый дескриптор сеанса.
  • CKR_USER_NOT_LOGGED_IN – действие не может быть выполнено, т.к. пользователь не залогинен.

Совет

Полный список ошибок см. в приложении.

C_Decrypt(CK_SESSION_HANDLE hSession, CK_BYTE_PTR pEncryptedData, CK_ULONG_PTR pulEncryptedDataLen, CK_BYTE_PTR pData, CK_ULONG ulDataLen, )
Параметры:
  • hSession (in) – дескриптор сеанса.
  • pEncryptedData (in) – указатель на зашифрованные данные.
  • pulEncryptedDataLen (in) – размер зашифрованных данных.
  • pData (out) – указатель на исходные данные.
  • ulDataLen (out) – размер данных.

Осуществляет единоразовое расшифрование (по ГОСТ 28147-89), т.е расшифровывает только один блок данных.

Запускается в режимах

Результат:
  • CKR_ARGUMENTS_BAD – недопустимые аргументы.
  • CKR_BUFFER_TOO_SMALL – вывод функции слишком велик для предоставленного буфера.
  • CKR_CRYPTOKI_NOT_INITIALIZED – функция не может быть выполнена, т.к. библиотека Cryptoki еще не была инициализирована (см. C_Initialize()).
  • CKR_DEVICE_ERROR – возникла проблема с токеном и/или слотом.
  • CKR_DEVICE_MEMORY – памяти токена недостаточно для данной операции.
  • CKR_DEVICE_REMOVED – токен был изъят из слота.
  • CKR_ENCRYPTED_DATA_LEN_RANGE – недопустимый размер зашифрованных данных.
  • CKR_FUNCTION_CANCELED – функция была отменена в момент исполнения.
  • CKR_FUNCTION_FAILED – выполнение функции было прервано или она не может быть выполнена.
  • CKR_GENERAL_ERROR – общий сбой при работе с библиотекой.
  • CKR_HOST_MEMORY – компьютер, на котором запущена библиотека, не имеет достаточно памяти для выполнения функции.
  • CKR_OK – функция выполнена успешно.
  • CKR_OPERATION_NOT_INITIALIZED – в указанном сеансе нет активной операции данного типа.
  • CKR_SESSION_CLOSED – сеанс был закрыт в момент выполнения функции.
  • CKR_SESSION_HANDLE_INVALID – недопустимый дескриптор сеанса.
  • CKR_USER_NOT_LOGGED_IN – действие не может быть выполнено, т.к. пользователь не залогинен.

Совет

Полный список ошибок см. в приложении.

C_DecryptUpdate(CK_SESSION_HANDLE hSession, CK_BYTE_PTR pPart, CK_ULONG ulPartLen, CK_BYTE_PTR pEncryptedPart, CK_ULONG_PTR pulEncryptedPartLen)
Параметры:
  • hSession (in) – дескриптор сеанса.
  • pEncryptedPart (in) – указатель на зашифрованный блок данных.
  • pulEncryptedPartLen (in) – размер зашифрованного блока данных.
  • pPart (out) – указатель на блок исходных данных.
  • ulPartLen (out) – размер блока данных.

Продолжает составную операцию расшифрования – расшифровывает очередной блок данных.

Запускается в режимах

Результат:
  • CKR_ARGUMENTS_BAD – недопустимые аргументы.
  • CKR_BUFFER_TOO_SMALL – вывод функции слишком велик для предоставленного буфера.
  • CKR_CRYPTOKI_NOT_INITIALIZED – функция не может быть выполнена, т.к. библиотека Cryptoki еще не была инициализирована (см. C_Initialize()).
  • CKR_DEVICE_ERROR – возникла проблема с токеном и/или слотом.
  • CKR_DEVICE_MEMORY – памяти токена недостаточно для данной операции.
  • CKR_DEVICE_REMOVED – токен был изъят из слота.
  • CKR_ENCRYPTED_DATA_LEN_RANGE – недопустимый размер зашифрованных данных.
  • CKR_FUNCTION_CANCELED – функция была отменена в момент исполнения.
  • CKR_FUNCTION_FAILED – выполнение функции было прервано или она не может быть выполнена.
  • CKR_GENERAL_ERROR – общий сбой при работе с библиотекой.
  • CKR_HOST_MEMORY – компьютер, на котором запущена библиотека, не имеет достаточно памяти для выполнения функции.
  • CKR_OK – функция выполнена успешно.
  • CKR_OPERATION_NOT_INITIALIZED – в указанном сеансе нет активной операции данного типа.
  • CKR_SESSION_CLOSED – сеанс был закрыт в момент выполнения функции.
  • CKR_SESSION_HANDLE_INVALID – недопустимый дескриптор сеанса.
  • CKR_USER_NOT_LOGGED_IN – действие не может быть выполнено, т.к. пользователь не залогинен.

Совет

Полный список ошибок см. в приложении.

C_DecryptFinal(CK_SESSION_HANDLE hSession, CK_BYTE_PTR pLastEncryptedPart, CK_ULONG_PTR pulLastEncryptedPartLen)
Параметры:
  • hSession (in) – дескриптор сеанса.
  • pLastEncryptedPart (out) – последний зашифрованный блок.
  • pulLastEncryptedPartLen (out) – размер последнего зашифрованного блока.

Завершает составную операцию расшифрования.

Запускается в режимах

Результат:
  • CKR_ARGUMENTS_BAD – недопустимые аргументы.
  • CKR_BUFFER_TOO_SMALL – вывод функции слишком велик для предоставленного буфера.
  • CKR_CRYPTOKI_NOT_INITIALIZED – функция не может быть выполнена, т.к. библиотека Cryptoki еще не была инициализирована (см. C_Initialize()).
  • CKR_DEVICE_ERROR – возникла проблема с токеном и/или слотом.
  • CKR_DEVICE_MEMORY – памяти токена недостаточно для данной операции.
  • CKR_DEVICE_REMOVED – токен был изъят из слота.
  • CKR_ENCRYPTED_DATA_LEN_RANGE – недопустимый размер зашифрованных данных.
  • CKR_FUNCTION_CANCELED – функция была отменена в момент исполнения.
  • CKR_FUNCTION_FAILED – выполнение функции было прервано или она не может быть выполнена.
  • CKR_GENERAL_ERROR – общий сбой при работе с библиотекой.
  • CKR_HOST_MEMORY – компьютер, на котором запущена библиотека, не имеет достаточно памяти для выполнения функции.
  • CKR_OK – функция выполнена успешно.
  • CKR_OPERATION_NOT_INITIALIZED – в указанном сеансе нет активной операции данного типа.
  • CKR_SESSION_CLOSED – сеанс был закрыт в момент выполнения функции.
  • CKR_SESSION_HANDLE_INVALID – недопустимый дескриптор сеанса.
  • CKR_USER_NOT_LOGGED_IN – действие не может быть выполнено, т.к. пользователь не залогинен.

Совет

Полный список ошибок см. в приложении.

Пример использования

Для обеспечения успешного расшифрования данных, необходимо, чтобы функции в алгоритме были использованы в одной из следующих последовательностей:

Для единоразовой операции расшифрования Для составной операции расшифрования
  1. C_DecryptInit(),
  2. C_Decrypt().
  1. C_DecryptInit(),
  2. C_DecryptUpdate() (один или более раз),
  3. C_DecryptFinal().

Пример реализации расшифрования на языке С:

// сессия PKCS#11
CK_SESSION_HANDLE pkcs11SessionHandle;
// механизм расшифрования ГОСТ 28147-89
CK_MECHANISM pkcs11DecMechanism;
// дескриптор сессионного ключа PKCS#11
CK_OBJECT_HANDLE pkcs11SessionKeyHandle;
// текст, зашифрованный PKCS#11
CK_BYTE pkcs11EncText[8];
// длина текста, зашифрованного PKCS#11
CK_ULONG pkcs11EncTextLength = sizeof(pkcs11EncText);
// открытый текст
CK_BYTE plainText[8];
// длина открытого текста
CK_ULONG plainTextLength = sizeof(plainText);
// инициализационный вектор для шифрования
CK_BYTE encIV[8];
// длина открытого текста
CK_ULONG encIVLength = sizeof(encIV);

// устанавливаем механизм шифрования по ГОСТ 28147-89
pkcs11DecMechanism.mechanism = CKM_GOST28147;
pkcs11DecMechanism.pParameter = encIV;
pkcs11DecMechanism.ulParameterLen = encIVLength;

// инициализируем операцию расшифрования
rv = C_DecryptInit(pkcs11SessionHandle, &pkcs11DecMechanism, pkcs11SessionKeyHandle);
if(rv != CKR_OK)
{
  throw runtime_error("C_DecryptInit failed.");
}

// расшифровываем зашифрованный текст
rv = C_Decrypt(pkcs11SessionHandle, pkcs11EncText, pkcs11EncTextLength, plainText, &plainTextLength);
if(rv != CKR_OK)
{
  throw runtime_error("C_Decrypt failed.");
}

Пример расшифрования для ОС Android на языке Java:

// дескриптор сессии
LongRef session = new LongRef();
// дескриптор сессионного ключа
LongRef sessionKeyHandle = new LongRef();
// механизм для шифрования данных
CKM encryptionMech = new CKM(CKM.GOST28147, null);
// зашифрованное сообщение
byte[] encryptedData = new byte[32];
// расшифрованное сообщение
byte[] decryptedData = new byte[32];
// длинна сообщений
LongRef dataLength = new LongRef(encryptedData.length);

// инициализация расшифрования
rv = C.DecryptInit(session.value, encryptionMech, sessionKeyHandle.value);
if(rv != CKR.OK)
{
        throw new CKRException("C.DecryptInit", rv);
}

// расшифрование
rv = C.Decrypt(session.value, encryptedData, decryptedData, dataLength);
if(rv != CKR.OK)
{
        throw new CKRException("C.Decrypt", rv);
}