Постоянное хранение зашифрованных данных с использованием .Net
Мне нужно хранить зашифрованные данные (несколько небольших строк) между запусками приложения. Я не хочу, чтобы пользователь вводил кодовую фразу каждый раз, когда запускает приложение. Т.е. в конце концов, все сводится к надежному хранению ключа (ов) шифрования.
Я изучал RSACryptoServiceProvider и использовал PersistentKeyInCsp, но не уверен, как это работает. Является ли контейнер ключей постоянным между запуском приложения или перезапуском компьютера? Если да, то это зависит от пользователя или от машины. Т.е. если я сохраню свои зашифрованные данные в перемещаемом профиле пользователя, могу ли я расшифровать данные, если пользователь входит в систему на другом компьютере?
Если вышеперечисленное не работает, каковы мои варианты (мне нужно иметь дело с перемещаемыми профилями).
Ответы 2
API защиты данных (DPAPI) делает именно то, что вы хотите. Он обеспечивает симметричное шифрование произвольных данных с использованием учетных данных машины или (лучше) пользователя в качестве ключа шифрования. Вам не нужно беспокоиться об управлении ключами; Windows позаботится об этом за вас. Если пользователь изменит свой пароль, Windows повторно зашифрует данные, используя новый пароль пользователя.
DPAPI предоставляется в .NET с помощью класса System.Security.Cryptography.ProtectedData:
byte[] plaintextBytes = GetDataToProtect();
byte[] encodedBytes = ProtectedData.Protect(plaintextBytes, null, DataProtectionScope.CurrentUser);
Второй параметр метода Protect - это необязательный массив байтов энтропии, который можно использовать как дополнительный «секрет» для конкретного приложения.
Для расшифровки используйте вызов ProtectedData.Unprotect:
byte[] encodedBytes = GetDataToUnprotect();
byte[] plaintextBytes = ProtectedData.Unprotect(encodedBytes, null, DataProtectionScope.CurrentUser);
DPAPI правильно работает с перемещаемыми профилями (как описано здесь), хотя вам необходимо хранить зашифрованные данные в месте (сетевой ресурс, изолированное хранилище с IsolatedStorageScope.Roaming и т. д.), К которому ваши различные машины могут получить доступ.
См. Класс ProtectedData в MSDN для получения дополнительной информации. Есть официальный документ DPAPI здесь, содержащий больше информации, чем вы когда-либо хотели.
Спасибо за ответ, это должно сработать. Ты хоть представляешь, как это можно сделать в 1.1? ProtectedData - новинка для .Net 2.0
Чтобы использовать DPAPI в .NET 1.1, вам необходимо использовать P / Invoke. См. Здесь довольно полный обзор: msdn.microsoft.com/en-us/library/aa302402.aspx
@Michael Petrotta - К вашему сведению, у вас есть ложный [] во второй строке примера расшифровки. (Тем не менее, большое спасибо за простой пример!)
Я хотел бы добавить к подходу DPAPI.
Хотя я сам не реализовал подход с использованием хранилища пользователей, существует документация Microsoft для подхода с хранилищем пользователей, который шифрует и дешифрует данные для конкретного пользователя.
Я использовал DPAPI, используя машинный магазин. Я опишу его на случай, если он соответствует тому, чем вы хотите заниматься. Я использовал службу Windows для загрузки профиля пользователя Windows, и этот пароль пользователя используется для шифрования данных.
В качестве примечания: DPAPI использует Triple-DES, который может быть немного слабее (чем AES), но тогда я не уверен, какой тип защиты вы ищете.
Защита данных Windows http://msdn.microsoft.com/en-us/library/ms995355.aspx
Для потомков вам придется изучить другой код, чтобы сохранить его в более «общедоступном» месте (по крайней мере, в вашей интрасети, например), чтобы они могли получить к нему доступ с других машин. Обычно вы можете использовать Environment.SpecialFolder.ApplicationData, чтобы получить местоположение, зависящее от компьютера и пользователя.