DPAPIは機密情報の保護に最適です。残念ながら、DPAPI の「オプションのエントロピー」は基本的に、保護しなければならない別の機密情報です。皮肉。
推測するのが難しい、使用できる「エントロピー」の可能性のある(卑劣な)ソースは何ですか? あるいは、どうすればエントロピーを保護できますか? ステガノグラフィかな?
参考までに: 私はエントロピー自体に完全に依存しているわけではありません。他の障害と暗号化のレイヤーがあります。別の障害物を置きたいだけです。
追加の参考情報: これは、私がパラノイアと好奇心から保護している個人的なプロジェクトです。
DPAPIに使用されるエントロピーは、必ずしも機密情報である必要はありません。辞書/レインボーテーブルのような攻撃から保護するために使用される単純なソルトにすることも、追加の保護が必要な場合はユーザーが入力したパスワードにすることもできます。DPAPIは、使用される実際のキーを暗号化するためのキーとして使用されるユーザー資格情報を通じてセキュリティを確保します。したがって、エントロピーは、アプリケーションにハードコードされたランダムな文字列である可能性もあります。ユーザーの資格情報が十分に保護されている限り、データが危険にさらされることはありません。
DRMセキュリティスキームが非常によく似た目的で使用するRMS(Windows Rights Management Services)を使用できます(ユーザーからは隠されているが、ユーザーのアカウントとコンピューターにあるキー(この場合はエントロピー)を保持します)。RMS は再び DPAPI に依存しますが、Microsoft がロックボックスと呼ぶシステムを使用します。