Сразу скажу, что при StrengthenedKeyUsageControl=0 никаких проблем не возникает. Точно так же не возникает проблем, если при проверке ЦП публичный ключ расположен в имеющемся контейнере.

Но, если публичный ключ импортируется из, например, сертификата вызов CryptVerifySignature завершается ошибкой NTE_BAD_PUBLIC_KEY

Все это безобразие происходит на Linux, Крипто ПРО версии 5.

последовательность вызова такая:

CryptAcquireContext(...VERIFYCONTEXT);
CryptImportKey
CryptCreateHash
CryptHashData
CryptVerifySignature


В качестве предположения, что ключ не может пройти усиленную проверку (кстати, зачем это публичному ключу?), попытался добавить к ключу сертификат:

CryptSetKeyParam(hKey, CERTIFICATE, cert...)
Вызов завершается ошибкой NTE_FAIL

Как правильно инициализировать проверку ЦП, если ключ не присутствует в контейнерах, а имеется только как набор байт, полученный из сертификата и преобразованный в формат Крипто ПРО.