CNG DPAPI

Firma Microsoft wprowadziła interfejs programowania aplikacji ochrony danych (DPAPI) w systemie Windows. Interfejs API składa się z dwóch funkcji, CryptProtectData i CryptUnprotectData. DPAPI jest częścią cryptoAPI i był przeznaczony dla deweloperów, którzy wiedzieli bardzo mało o używaniu kryptografii. Dwie funkcje mogą służyć do szyfrowania i odszyfrowywania danych statycznych na jednym komputerze.

Przetwarzanie w chmurze wymaga jednak, aby zawartość zaszyfrowana na jednym komputerze została odszyfrowana na innym komputerze. W związku z tym, począwszy od systemu Windows 8, firma Microsoft rozszerzyła ideę użycia stosunkowo prostego interfejsu API w celu stosowania scenariuszy chmury. Ten nowy interfejs API, nazywany DPAPI-NG, umożliwia bezpieczne udostępnianie wpisów tajnych (kluczy, haseł, materiału klucza) i komunikatów przez ochronę ich w zestawie podmiotów zabezpieczeń, które mogą służyć do usuwania ochrony z nich na różnych komputerach po odpowiednim uwierzytelnieniu i autoryzacji. Obecnie obsługiwane są następujące podmioty zabezpieczeń:

• Grupa w lesie usługi Active Directory.
• Poświadczenia sieci Web.

Aby uzyskać więcej informacji, zobacz następujące tematy:

• Dostawcy ochrony
• Deskryptory ochrony
• format chronionych danych
• klucze kopii zapasowej dpAPI na kontrolerach domeny usługi Active Directory

DPAPI-NG jest oparta na kryptografii Następnej generacji (CNG) i obejmuje następujące funkcje:

• NCryptCreateProtectionDescriptor
• NCryptCloseProtectionDescriptor
• NCryptProtectSecret
• NCryptQueryProtectionDescriptorName
• NCryptRegisterProtectionDescriptorName
• NCryptStreamClose
• NCryptStreamOpenToProtect
• NCryptStreamOpenToUnprotect
• NCryptStreamUpdate
• NCryptUnprotectSecret