CNG DPAPI

Společnost Microsoft zavedla rozhraní DPAPI (Data Protection Application Programming Interface) ve Windows. Rozhraní API se skládá ze dvou funkcí, CryptProtectData a CryptUnprotectData. DPAPI je součástí CryptoAPI a byl určen vývojářům, kteří velmi málo věděli o používání kryptografie. Tyto dvě funkce je možné použít k šifrování a dešifrování statických dat v jednom počítači.

Cloud computing ale často vyžaduje, aby se obsah zašifrovaný v jednom počítači dešifroval na jiném počítači. Od Windows 8 proto Společnost Microsoft rozšířila myšlenku použití relativně jednoduchého rozhraní API, aby zahrnovala cloudové scénáře. Toto nové rozhraní API, označované jako DPAPI-NG, umožňuje bezpečně sdílet tajné kódy (klíče, hesla, materiál klíče) a zprávy tím, že je chrání před sadou objektů zabezpečení, které je možné použít k odebrání ochrany na různých počítačích po správném ověření a autorizaci. Aktuálně se podporují následující objekty zabezpečení:

• Skupina v doménové struktuře služby Active Directory.
• Webové přihlašovací údaje.

Další informace najdete v následujících tématech:

• zprostředkovatelé ochrany
• popisovače ochrany
• chráněných dat
• záložní klíče DPAPI na řadičích domény služby Active Directory

DPAPI-NG je postaven na kryptografické další generaci (CNG) a obsahuje následující funkce:

• NCryptCreateProtectionDescriptor
• NCryptCloseProtectionDescriptor
• NCryptProtectSecret
• NCryptQueryProtectionDescriptorName
• NCryptRegisterProtectionDescriptorName
• NCryptStreamClose
• NCryptStreamOpenToProtect
• NCryptStreamOpenToUnprotect
• NCryptStreamUpdate
• NCryptUnprotectSecret