正软商城

C#使用TPM加密文件密钥方法

时间:2026-03-11

TPM密钥生成必须使用RSACng或ECDsaCng并指定Microsoft Platform Crypto Provider,密钥不可导出、需用混合加密,且环境须满足TPM已启用并就绪。

C# 操作TPM存储文件 C#如何使用可信平台模块来加密和保护文件密钥

TPM 密钥生成必须用 RSACngECDsaCng,不能用普通 RSA

Windows TPM 支持只暴露在 CNG(Cryptography Next Generation)层,.NET 的传统 RSA 类绕过 CNG,完全无法绑定到 TPM。你调用 RSA.Create() 得到的是软件密钥,哪怕传了 CspParameters 也无效——.NET Core / 5+ 已彻底弃用 CSP。

实操建议:

CngKeyCreationParameters parameters = new()
{
    Provider = new CngProvider("Microsoft Platform Crypto Provider"),
    KeyUsage = CngKeyUsages.KeyEncryption,
    ExportPolicy = CngExportPolicies.None
};
using CngKey key = CngKey.Create(CngAlgorithm.Rsa, null, parameters); // TPM 内生成

文件加密不能直接用 TPM 密钥加解密大块数据

TPM 硬件限制导致 RSA 操作极慢(尤其 >2048 位),且多数 TPM 2.0 实现对单次加密长度有硬上限(如 245 字节 for RSA-2048)。你试图用 key.Encrypt(fileBytes, RSAEncryptionPadding.Pkcs1) 会直接抛 CryptographicException:“The parameter is incorrect.”

正确做法是混合加密(Hybrid Encryption):

注意:AES 密钥本身绝不能明文落盘,必须始终由 TPM 保护。

“找不到 Microsoft Platform Crypto Provider” 多半是硬件或系统没就绪

这个错误不是代码问题,而是环境缺失。常见原因:

验证方式:打开 PowerShell,执行 Get-Tpm。输出中 TpmPresentTpmReady 都必须为 True。否则代码必失败,不用调试。

CngKey.Import 不能导入已存在的 TPM 密钥,只能从零创建

TPM 密钥不可导出,所以不存在“加载已有密钥”的概念。你不能用 CngKey.Import(blob, CngAlgorithm.Rsa) 把之前存的密钥 blob 导入 TPM —— 那 blob 是软件密钥,导入后仍是软件密钥,和 TPM 无关。

持久化 TPM 密钥靠的是名字(keyName):

容易忽略的一点:密钥名字若含路径分隔符(如 "MyApp/Key1"),TPM 不认,会静默创建失败。只允许字母、数字、下划线、短横线。

本文转载于:互联网 如有侵犯,请联系zhengruancom@outlook.com删除。
免责声明:正软商城发布此文仅为传递信息,不代表正软商城认同其观点或证实其描述。

同类商品

相关文章

更多