解密文件时出现异常“密钥在指定状态下无效”

Question

我正在生成一个证书并将该证书加密为本地磁盘的 bin 文件。我正在使用以下 powershell 代码执行此操作：

$bytes = $CertificateResponse.ToCharArray() | % {[byte] $_}
[Byte[]]$entropy = 4,17,9,88,236,1688,1486,41,182,16,72,93,2,188,2,23

# Encrypt the byte array.
$encryptedBytes = [System.Security.Cryptography.ProtectedData]::Protect(
        $bytes, 
        $entropy, 
        [System.Security.Cryptography.DataProtectionScope]::LocalMachine)

$encryptedBytes | Set-Content C:\certificate\xxx.bin -Encoding Byte

后来相同的二进制文件保存在其他机器上，我正在尝试按如下方式读取和解密文件（使用 c#）：

 try
            {
                this.EntropyKey = new byte[] { 4,17,9,88,236,1688,1486,41,182,16,72,93,2,188,2,23};
                var data = File.ReadAllBytes(Path.Combine(localPath, "xxx.bin"));
                var decryptedData = ProtectedData.Unprotect(data, this.EntropyKey, DataProtectionScope.LocalMachine);
                this.Certificate = new X509Certificate(decryptedData);
                return Task.CompletedTask;
            }
            catch (Exception ex)
            {
                throw new NotImplementedException();
            }

当我运行代码时，我在尝试解密的行中收到异常为“密钥在指定状态下无效”。如果我尝试使用 powershell 命令解密，它工作正常。任何帮助将非常感激。注意：我已授予该文件的读取权限。

Answer 1

ProtectedData使用 DPAPI 来保护数据。这意味着您可以在同一台机器上加密/解密数据，但不能在一台机器上加密并在另一台机器上解密，因为每台机器都有自己的 DPAPI 主密钥。如果您需要处理不同机器上的加密数据，则不能使用 DPAPI。相反，您必须使用其他方式来加密和解密数据。例如，您可以使用AES类。