Постоянное хранение зашифрованных данных с использованием .Net

Мне нужно хранить зашифрованные данные (несколько небольших строк) между запусками приложения. Я не хочу, чтобы пользователь вводил кодовую фразу каждый раз, когда запускает приложение. Т.е. в конце концов, все сводится к надежному хранению ключа (ов) шифрования.

Я изучал RSACryptoServiceProvider и использовал PersistentKeyInCsp, но не уверен, как это работает. Является ли контейнер ключей постоянным между запуском приложения или перезапуском компьютера? Если да, то это зависит от пользователя или от машины. Т.е. если я сохраню свои зашифрованные данные в перемещаемом профиле пользователя, могу ли я расшифровать данные, если пользователь входит в систему на другом компьютере?

Если вышеперечисленное не работает, каковы мои варианты (мне нужно иметь дело с перемещаемыми профилями).


encryption dns c# roaming
person Sunny Milenov    schedule 30.09.2008    source источник

Ответы (2)


arrow_upward
38
arrow_downward

API защиты данных (DPAPI) делает именно то, что вы хотите. Он обеспечивает симметричное шифрование произвольных данных с использованием учетных данных машины или (лучше) пользователя в качестве ключа шифрования. Вам не нужно беспокоиться об управлении ключами; Windows позаботится об этом за вас. Если пользователь изменит свой пароль, Windows повторно зашифрует данные, используя новый пароль пользователя.

DPAPI предоставляется в .NET с помощью класса System.Security.Cryptography.ProtectedData:

byte[] plaintextBytes = GetDataToProtect();
byte[] encodedBytes = ProtectedData.Protect(plaintextBytes, null, DataProtectionScope.CurrentUser);

Второй параметр метода Protect - это необязательный байтовый массив энтропии, который можно использовать как дополнительный «секрет» для конкретного приложения.

Для расшифровки используйте вызов ProtectedData.Unprotect:

byte[] encodedBytes = GetDataToUnprotect();
byte[] plaintextBytes = ProtectedData.Unprotect(encodedBytes, null, DataProtectionScope.CurrentUser);

DPAPI правильно работает с перемещаемыми профилями (как описано здесь), хотя вам необходимо хранить зашифрованные данные в месте (сетевой ресурс, IsolatedStorage с IsolatedStorageScope.Roaming и т. д.), к которым имеют доступ ваши различные машины.

См. Класс ProtectedData в MSDN для получения дополнительной информации. здесь есть технический документ DPAPI с большим количеством информации, чем вы когда-либо хотеть.

person Michael Petrotta    schedule 30.09.2008
comment
Просто для потомков вам придется изучить другой код, чтобы сохранить его в более общедоступном месте (по крайней мере, в вашей интрасети, например), чтобы они могли получить к нему доступ с других машин. Обычно вы можете использовать Environment.SpecialFolder.ApplicationData, чтобы получить местоположение, зависящее от компьютера и пользователя. - person Sean Hanley; 01.10.2008
comment
Спасибо за ответ, это должно сработать. Ты хоть представляешь, как это можно сделать в 1.1? ProtectedData - новинка в .Net 2.0 - person Sunny Milenov; 01.10.2008
comment
Чтобы использовать DPAPI в .NET 1.1, вам необходимо использовать P / Invoke. См. Здесь довольно полный обзор: msdn.microsoft.com/en- us / library / aa302402.aspx - person Michael Petrotta; 01.10.2008
comment
@Michael Petrotta - К вашему сведению, у вас есть ложный [] во второй строке примера расшифровки. (Тем не менее, большое спасибо за простой пример!) - person SteveWilkinson; 18.02.2014

arrow_upward
0
arrow_downward

Хочу добавить к подходу DPAPI.

Хотя я сам не реализовал подход с использованием хранилища пользователей, существует документация Microsoft для подхода с хранилищем пользователей, который шифрует и дешифрует данные для конкретного пользователя.

Я использовал DPAPI, используя машинный магазин. Я опишу его на случай, если он соответствует тому, чем вы хотите заниматься. Я использовал службу Windows для загрузки профиля пользователя Windows, и этот пароль пользователя используется для шифрования данных.

Кстати, DPAPI использует Triple-DES, который может быть немного слабее (чем AES), но тогда я не уверен, какой тип защиты вы ищете.

Защита данных Windows http://msdn.microsoft.com/en-us/library/ms995355.aspx

person Ray Li    schedule 30.09.2008