В общем, любой открытый ключ содержится в его закрытом ключе. Независимо от операционной системы, механизма хранения или библиотеки, учитывая только сертификат X.509 и закрытый ключ, значение открытого ключа можно извлечь из закрытого ключа и сравнить с значениями открытого ключа в сертификате. Если они совпадают, частный ключ принадлежит сертификату.
Например, закрытый ключ RSA состоит из
- PublicExponent
- Modulus
- Prime1
- Prime2
- Exponent1 [опционально]
- Exponent2 [опционально]
- Коэффициент [опционально]
- PrivateExponent [опционально]
Первые два, PublicExponent и Modulus составляют открытый ключ и сохраняются в сертификате X.509. (Вышеуказанные необязательные поля могут быть рассчитаны с первых 4, но обычно включаются в закрытый ключ, так как для их вычисления требуется много мощности ЦП)
Для вашего конкретного примера оснастка сертификата MMC запрашивает Crypto API (CAPI) для установленных сертификатов. CAPI использует модули Cryptographic Service Provider (CSP), которые могут обеспечить, помимо прочего, хранилища сертификатов. В рамках спецификации хранилища сертификатов CSP хранилище предоставляет атрибут «PP_Container» для каждого сохраненного сертификата. Этот атрибут сообщает CAPI имя контейнера CSP, который содержит соответствующий закрытый ключ (если есть). Это «разделение» позволяет хранить секретный ключ на смарт-карте или аппаратном модуле безопасности, а сертификат хранится в самой системе Windows.
Очень хорошее объяснение, спасибо! –