本地数据加密保护
本地数据加密保护机制提供了简单的DAPI调用接口,密钥管理等等一概由系统来处理。DAPI的数据加密保护机制在用户登录会话范围或者本地计算范围,使用操作系统设计的方式加密保护数据和解密还原数据,用户无需关心密钥的来源和管理,使用DPAPI 可以使应用程序免于处理生成和存储加密密钥的难题。
这一保护的效果与EFS相同,持有加密者安全令牌的进程,都能够访问数据。用户登录后,在用户桌面会话中启动的所有进程,都有可能能够解密,进程之间可以使用保护字区分。对于渗入本地的恶意代码来说,这不会是一个强的保护,恶意代码能够扫描文件获得存储的保护字,也可以通过键盘钩子截获口令派生的保护字。本地计算机范围保护的数据更是能够被所有能够在本机上运行的程序打开。在DAPI边界范围之外,DAPI可以认为是一种强保护机制。Windows采用了精心设计的密钥管理机制保护所加密的数据。
基本加密算法服务
系统中的内置CSP及第三方CSP一般都提供了诸如对称加密、不对称加密、哈希等基本加密算法的实现。应用程序需要根据自身加密安全性设计的约束,通过CryptoAPI函数调用适当的CSP所提供的加密功能,完成应用层面的加密处理。
加密通信服务
SSL(https)安全通信协议是一个基于加密技术的网络安全通信协议。协议规定了对各种加密算法的使用要求,密钥的协商方式,服务端与客户端的身份认证方式等等。SChannel CSP是针对SSL中的加密处理方法和过程定制的CSP。基于SChannel CSP,应用程序能够建立和维护网络安全通信所需的SSL连接。
操作和管理数字证书
计算机上的数字证书会在用户使用中逐渐累积,CryptoAPI提供了存取、查询、验证和删除数字证书的工具函数。CryptoAPI还提供了把证书附着到消息所需的方法。数字证书管理函数分为两个大类,一是管理证书存储容器的函数,二是管理证书本身和证书撤销列表、证书信任列表等具体对象的函数。通过这些函数,Windows系统和用户程序得以操作和管理系统中用到的数字证书。
CSP的CryptSPI规范
按照CryptSPI接口规范实现的加密软硬件模块能够以CSP的形式集成到Windows系统中,应用编程通常不必关心这方面的技术。第三方开发新算法软件模块、智能卡、USBKey、SSL加密加速器之类的加密组件,希望集成到Windows系统中,使其产品能够为Windows系统以及调用系统加密API的应用软件所用时,必须需要按照相关规范,实现CryptoSPI接口,把DLL文件发送给微软签名,在部署时把加密组件注册到目标计算机系统。
