CNG DPAPI

Microsoft introdujo la interfaz de programación de aplicaciones de protección de datos (DPAPI) en Windows. La API consta de dos funciones: CryptProtectData y CryptUnprotectData. DPAPI forma parte de CryptoAPI y estaba pensado para desarrolladores que sabían muy poco sobre el uso de criptografía. Las dos funciones se pueden usar para cifrar y descifrar datos estáticos en un solo equipo.

Sin embargo, la informática en la nube a menudo requiere que el contenido cifrado en un equipo se descifre en otro. Por lo tanto, a partir de Windows 8, Microsoft extendió la idea de usar una API relativamente sencilla para abarcar escenarios en la nube. Esta nueva API, denominada DPAPI-NG, le permite compartir secretos de forma segura (claves, contraseñas, material de clave) y mensajes protegiéndolos en un conjunto de entidades de seguridad que se pueden usar para quitar la protección de ellos en distintos equipos después de la autenticación y autorización adecuadas. Actualmente se admiten las siguientes entidades de seguridad:

• Un grupo de un bosque de Active Directory.
• Credenciales web.

Para obtener más información, vea los temas siguientes:

• Proveedores de protección
• Descriptores de protección
• Formato de datos protegidos
• Claves de copia de seguridad de DPAPI en controladores de dominio de Active Directory

DPAPI-NG se basa en Cryptography Next Generation (CNG) e incluye las siguientes funciones:

• NCryptCreateProtectionDescriptor
• NCryptCloseProtectionDescriptor
• NCryptProtectSecret
• NCryptQueryProtectionDescriptorName
• NCryptRegisterProtectionDescriptorName
• NCryptStreamClose
• NCryptStreamOpenToProtect
• NCryptStreamOpenToUnprotect
• NCryptStreamUpdate
• NCryptUnprotectSecret