CNG DPAPI

Microsoft introducerade dataskyddsprogrammets programmeringsgränssnitt (DPAPI) i Windows. API:et består av två funktioner, CryptProtectData och CryptUnprotectData. DPAPI är en del av CryptoAPI och var avsedd för utvecklare som visste mycket lite om att använda kryptografi. De två funktionerna kan användas för att kryptera och dekryptera statiska data på en enda dator.

Molnbaserad databehandling kräver dock ofta att innehåll som krypteras på en dator dekrypteras på en annan. Från och med Windows 8 utökade Microsoft därför idén om att använda ett relativt enkelt API för att omfatta molnscenarier. Med det här nya API:et, som kallas DPAPI-NG, kan du på ett säkert sätt dela hemligheter (nycklar, lösenord, nyckelmaterial) och meddelanden genom att skydda dem mot en uppsättning huvudnamn som kan användas för att ta bort skyddet från dem på olika datorer efter korrekt autentisering och auktorisering. Följande huvudnamn stöds för närvarande:

• En grupp i en Active Directory-skog.
• Webbautentiseringsuppgifter.

Mer information finns i följande avsnitt:

• Protection Providers
• Skyddsbeskrivningar
• skyddat dataformat
• DPAPI-säkerhetskopieringsnycklar på Active Directory-domänkontrollanter

DPAPI-NG bygger på kryptografi nästa generation (CNG) och innehåller följande funktioner:

• NCryptCreateProtectionDescriptor
• NCryptCloseProtectionDescriptor
• NCryptProtectSecret
• NCryptQueryProtectionDescriptorName
• NCryptRegisterProtectionDescriptorName
• NCryptStreamClose
• NCryptStreamOpenToProtect
• NCryptStreamOpenToUnprotect
• NCryptStreamUpdate
• NCryptUnprotectSecret