在交换密钥时，或密钥需要离开CSP(即导出密钥)时，就存在选择什么样的数据结构存储密钥的问题。

CryptoAPI采用Key Blob数据结构存储离开了CSP内部的密钥。

当使用CryptExportKey函数从CSP中导出密钥时，Key Blob被创建。之后的某一时间，使用CryptImportKey函数将密钥导入到某个CSP中（通常是另一个不同的机器上的不同的CSP）。

Key Blob有一个标准的信息头和位于信息头之后的一段表示密钥本身的数据组成。通常应用程序不访问Key Blob内部，而是把Key Blob当作一个透明的对象。

由于公/私钥对的私钥部分需要绝对保密，所以私钥要用对称加密算法加密。加密Private Key Blob时，除了BLOBHEADER之外的所有部分都要加密。但加密所用的算法和密钥（或密钥参数）不与该Key Blob存储在一起，应用程序负责管理这些信息。