CNG DPAPI

Microsoft は、Windows でデータ保護アプリケーション プログラミング インターフェイス (DPAPI) を導入しました。 API は、 CryptProtectData と CryptUnprotectData の 2 つの関数で構成 されます。 DPAPI は CryptoAPI の一部であり、暗号化の使用についてほとんど知らなかった開発者を対象としていました。 2 つの関数を使用して、1 台のコンピューター上の静的データの暗号化と暗号化解除を行えます。

ただし、クラウド コンピューティングでは、多くの場合、あるコンピューターで暗号化されたコンテンツを別のコンピューターで暗号化解除する必要があります。 そのため、microsoft は、Windows 8以降、比較的単純な API を使用してクラウド シナリオを含めるという考えを拡張しました。 DPAPI-NG と呼ばれるこの新しい API を使用すると、シークレット (キー、パスワード、キーマテリアル) とメッセージを、適切な認証と承認後に別のコンピューター上の保護を削除するために使用できるプリンシパルのセットに保護することで、安全に共有できます。 現在、次のプリンシパルがサポートされています。

• Active Directory フォレスト内のグループ。
• Web 資格情報。

詳細については、次のトピックを参照してください。

• 保護プロバイダー
• 保護記述子
• 保護されたデータ形式
• Active Directory ドメイン コントローラー上の DPAPI バックアップ キー

DPAPI-NG は、暗号化次世代 (CNG) の上に構築され、次の機能が含まれています。

• NCryptCreateProtectionDescriptor
• NCryptCloseProtectionDescriptor
• NCryptProtectSecret
• NCryptQueryProtectionDescriptorName
• NCryptRegisterProtectionDescriptorName
• NCryptStreamClose
• NCryptStreamOpenToProtect
• NCryptStreamOpenToUnprotect
• NCryptStreamUpdate
• NCryptUnprotectSecret