CNG DPAPI

Microsoft introdujo la interfaz de programación de aplicaciones de protección de datos (DPAPI) en Windows. La API consta de dos funciones, CryptProtectData y CryptUnprotectData. DPAPI forma parte de CryptoAPI y estaba pensado para desarrolladores que sabían muy poco sobre el uso de criptografía. Las dos funciones se pueden usar para cifrar y descifrar datos estáticos en un solo equipo.

Sin embargo, la informática en la nube suele requerir que el contenido cifrado en un equipo se descifre en otro. Por lo tanto, a partir de Windows 8, Microsoft extendió la idea de usar una API relativamente sencilla para abarcar escenarios en la nube. Esta nueva API, denominada DPAPI-NG, le permite compartir de forma segura secretos (claves, contraseñas, material de clave) y mensajes protegiéndolos en un conjunto de entidades de seguridad que se pueden usar para quitar la protección de ellos en diferentes equipos después de la autenticación y autorización adecuadas. Actualmente se admiten las siguientes entidades de seguridad:

• Un grupo en un bosque de Active Directory.
• Credenciales web.

Para obtener más información, consulte los temas siguientes:

• proveedores de protección de
• descriptores de protección
• formato de datos protegidos
• claves de copia de seguridad de DPAPI en controladores de dominio de Active Directory

DPAPI-NG se basa en Cryptography Next Generation (CNG) e incluye las siguientes funciones:

• NCryptCreateProtectionDescriptor
• NCryptCloseProtectionDescriptor
• NCryptProtectSecret
• NCryptQueryProtectionDescriptorName
• NCryptRegisterProtectionDescriptorName
• NCryptStreamClose
• NCryptStreamOpenToProtect
• NCryptStreamOpenToUnprotect
• NCryptStreamUpdate
• NCryptUnprotectSecret