CNG DPAPI

Microsoft在 Windows 中引入了数据保护应用程序编程接口（DPAPI）。 API 由两个函数组成，CryptProtectData 和 CryptUnprotectData。 DPAPI 是 CryptoAPI 的一部分，适用于对使用加密知之甚少的开发人员。 这两个函数可用于加密和解密单个计算机上的静态数据。

但是，云计算通常要求在一台计算机上加密的内容在另一台计算机上解密。 因此，从 Windows 8 开始，Microsoft扩展了使用相对简单的 API 来包含云方案的想法。 这个名为 DPAPI-NG 的新 API 使你能够安全地共享机密（密钥、密码、密钥材料）和消息，方法是将机密保护保护用于在适当的身份验证和授权后从不同的计算机上删除保护。 当前支持以下主体：

• Active Directory 林中的组。
• Web 凭据。

有关详细信息，请参阅以下主题：

• 保护提供程序
• 保护描述符
• 受保护的数据格式
• Active Directory 域控制器上的 DPAPI 备份密钥

DPAPI-NG 基于加密下一代（CNG）构建，包含以下功能：

• NCryptCreateProtectionDescriptor
• NCryptCloseProtectionDescriptor
• NCryptProtectSecret
• NCryptQueryProtectionDescriptorName
• NCryptRegisterProtectionDescriptorName
• NCryptStreamClose
• NCryptStreamOpenToProtect
• NCryptStreamOpenToUnprotect
• NCryptStreamUpdate
• NCryptUnprotectSecret