CNG DPAPI
Microsoft introdujo la interfaz de programación de aplicaciones de protección de datos (DPAPI) en Windows. La API consta de dos funciones, CryptProtectData y CryptUnprotectData. DPAPI forma parte de CryptoAPI y estaba pensado para desarrolladores que sabían muy poco sobre el uso de criptografía. Las dos funciones se pueden usar para cifrar y descifrar datos estáticos en un solo equipo.
Sin embargo, la informática en la nube suele requerir que el contenido cifrado en un equipo se descifre en otro. Por lo tanto, a partir de Windows 8, Microsoft extendió la idea de usar una API relativamente sencilla para abarcar escenarios en la nube. Esta nueva API, denominada DPAPI-NG, le permite compartir de forma segura secretos (claves, contraseñas, material de clave) y mensajes protegiéndolos en un conjunto de entidades de seguridad que se pueden usar para quitar la protección de ellos en diferentes equipos después de la autenticación y autorización adecuadas. Actualmente se admiten las siguientes entidades de seguridad:
- Un grupo en un bosque de Active Directory.
- Credenciales web.
Para obtener más información, consulte los temas siguientes:
- proveedores de protección de
- descriptores de protección
- formato de datos protegidos
- claves de copia de seguridad de DPAPI en controladores de dominio de Active Directory
DPAPI-NG se basa en Cryptography Next Generation (CNG) e incluye las siguientes funciones:
- NCryptCreateProtectionDescriptor
- NCryptCloseProtectionDescriptor
- NCryptProtectSecret
- NCryptQueryProtectionDescriptorName
- NCryptRegisterProtectionDescriptorName
- NCryptStreamClose
- NCryptStreamOpenToProtect
- NCryptStreamOpenToUnprotect
- NCryptStreamUpdate
- NCryptUnprotectSecret