問題タブ [dpapi]

DPAPIの内部機能の質問に足を踏み入れました...

私は（潜在的に）ログオン前のコンテキストにいます。つまり、ユーザーはまだログオンしていません。

CryptProtectData 関数は現在のユーザー資格情報を使用するため、どのように動作しますか?

これに問題があるのか​​ 、それともこのコンテキストでは単に使用できないのか 疑問に思っていました.

そして...答えが何であれ、LOCAL_MACHINEフラグに使用される「キー」が何であるか(/見つける方法)を知っている人はいますか? マシンに固有の暗号化を行うために使用される資格情報/識別子の種類は何ですか?

回答/アドバイス/リダイレクト/提案は大歓迎です

Windows のデータ保護 API (DPAPI) を使用して一部のデータを暗号化することを検討しています。私が持っている要件の 1 つは、値を暗号化するときに動的ソルトを使用することです。

テストを通じて、同じ文字列を複数回暗号化すると、異なる結果が得られることに気付きました。これは、同じ文字列、null エントロピー値、および同じスコープを使用した場合です。

これは、動的ソルトがすでに関与しているかのように感じさせます。これを述べている文書は見当たりません。

https://docs.microsoft.com/en-us/dotnet/api/system.security.cryptography.protecteddata.protect?view=netframework-4.7.2と呼んでいる方法は次のとおり です。

DPAPI は動的ソルティングを既に処理していますか? そうでない場合、暗号化された値が毎回変更される原因は何ですか?

プログラムの複数のインスタンスにまたがって保存されるパスワードを暗号化しようとしていますが、マシン上のすべてのユーザーがパスワードを解読できる必要があります。私はすでにオプションを探しており、javaDPAPIを推奨してもらいました。ただし、これは現在のユーザー コンテキストに基づいて暗号化するだけのようです。

マイクロソフトのドキュメントに基づいて、これを行う方法があるようですが、これを行う方法がわからず、Javaにあまり詳しくなく、このようなことをしたことがありません。