我想用DPAPI這樣我的Windows域管理員可以解密我的DPAPI加密文件嗎?
ProtectedData.Protect(plain, optionalEntropy, DataProtectionScope.CurrentUser);
對密碼進行加密,不知是否域管理員可以解密生成的斑點,如 Using Passwords Effectively狀態:
然而,在域環境中 域管理員可以安全地更改您的密碼 ,並且您仍然可以通過 訪問您的加密文件。
似乎域管理員必須首先解密數據(或更確切地說,加密的主密鑰),以便能夠使用不同的密碼對其進行重新加密。
簡短的回答:他可能不能立即開箱,但域管理員是強大的。如果他們真的需要,他們可以通過很多方式獲得鑰匙。
長答案:DPAPI使用密鑰加密您的數據。 IIRC,它使用AES,每90天更換一次密鑰。密鑰存儲在您的計算機上,並使用您的密碼進行加密。這是默認設置,它可以將您的密鑰保存在除您以外的任何人的範圍之外。
除非您的域管理員遠程安裝密鑰記錄器,竊取您的密碼,冒充您並竊取您的密鑰(或直接轉到他現在以純文本形式看到的數據)。
另一個鮮爲人知的事實是,當在Active Directory上啓用Credential Roaming時,它會將您的加密密鑰發送到服務器。域管理員可以使用該副本進行脫機攻擊。但這很難,除非你的數據非常有價值,否則我不會擔心。
答案是肯定的,只要他也有存取權限的熵鍵(如果創建一個),或者,如果他願意,並有足夠的能力攻入斑點(見下面的鏈接)。
對於DPAPI中的主密鑰(在當前用戶模式下),Windows登錄用戶名和密碼用於生成主密鑰。 如果管理員更新用戶的域密碼,DPAPI將重新編碼該用戶的主密鑰。如果由於例如用戶更新他的密碼,情況也是如此。每月密碼更改政策。
但是,如果他無權訪問可選的熵密鑰或組成該密鑰的數據,則該文件將保持加密狀態,並且他將獲得的所有數據都是無效數據。
如果DPAPI在CurrentMachine模式中使用,該文件只可以在加密它的計算機上解密,但是該文件將是可讀的,以所有帳戶在該計算機上,再提供它們也可以鼓起內容的熵密鑰。
的信息,一個好的倉庫是DPAPI Secrets和this paper on reverse-enginerring DPAPI + link to a tool that can recover data from DPAPI blobs
這屬於對serverfault.com – 2011-01-24 08:52:53