CNG DPAPI

Microsoft a introduit l’interface de programmation d’applications de protection des données (DPAPI) dans Windows. L’API se compose de deux fonctions, CryptProtectData et CryptUnprotectData. DPAPI fait partie de CryptoAPI et a été destiné aux développeurs qui connaissaient très peu l’utilisation du chiffrement. Les deux fonctions peuvent être utilisées pour chiffrer et déchiffrer des données statiques sur un seul ordinateur.

Toutefois, le cloud computing nécessite souvent que le contenu chiffré sur un ordinateur soit déchiffré sur un autre. Par conséquent, à compter de Windows 8, Microsoft a étendu l’idée d’utiliser une API relativement simple pour englober les scénarios cloud. Cette nouvelle API, appelée DPAPI-NG, vous permet de partager en toute sécurité des secrets (clés, mots de passe, matériel de clé) et des messages en les protégeant sur un ensemble de principaux qui peuvent être utilisés pour supprimer la protection de ces derniers sur différents ordinateurs après l’authentification et l’autorisation appropriées. Les principaux suivants sont actuellement pris en charge :

• Groupe dans une forêt Active Directory.
• Informations d’identification web.

Pour plus d’informations, consultez les rubriques suivantes :

• fournisseurs de protection
• descripteurs de protection
• format de données protégé
• clés de sauvegarde DPAPI sur les contrôleurs de domaine Active Directory

DPAPI-NG est basé sur le chiffrement de nouvelle génération (CNG) et inclut les fonctions suivantes :

• NCryptCreateProtectionDescriptor
• NCryptCloseProtectionDescriptor
• NCryptProtectSecret
• NCryptQueryProtectionDescriptorName
• NCryptRegisterProtectionDescriptorName
• NCryptStreamClose
• NCryptStreamOpenToProtect
• NCryptStreamOpenToUnprotect
• NCryptStreamUpdate
• NCryptUnprotectSecret