CNG DPAPI

Microsoft introdujo la interfaz de programación de aplicaciones de protección de datos (DPAPI) en Windows 2000. La API consta de dos funciones, CryptProtectData y CryptUnprotectData. DPAPI forma parte de CryptoAPI y estaba pensado para desarrolladores que sabían muy poco sobre el uso de criptografía. Las dos funciones se pueden usar para cifrar y descifrar datos estáticos en un único equipo.

Sin embargo, la informática en la nube suele requerir que el contenido cifrado en un equipo se descifre en otro. Por lo tanto, a partir de Windows 8, Microsoft extendió la idea de usar una API relativamente sencilla para abarcar escenarios en la nube. Esta nueva API, denominada DPAPI-NG, le permite compartir de forma segura secretos (claves, contraseñas, material de clave) y mensajes protegiéndolos en un conjunto de entidades de seguridad que se pueden usar para desprotegerlos en distintos equipos después de la autenticación y autorización adecuadas. Actualmente se admiten las siguientes entidades de seguridad:

• Un grupo en un bosque de Active Directory.
• Credenciales web.

Para obtener más información, vea los temas siguientes:

• Proveedores de protección
• Descriptores de protección
• Formato de datos protegidos

DPAPI-NG se basa en Cryptography Next Generation (CNG) e incluye las siguientes funciones:

• NCryptCreateProtectionDescriptor
• NCryptCloseProtectionDescriptor
• NCryptProtectSecret
• NCryptQueryProtectionDescriptorName
• NCryptRegisterProtectionDescriptorName
• NCryptStreamClose
• NCryptStreamOpenToProtect
• NCryptStreamOpenToUnprotect
• NCryptStreamUpdate
• NCryptUnprotectSecret