我想用DPAPI这样我的Windows域管理员可以解密我的DPAPI加密文件吗?
ProtectedData.Protect(plain, optionalEntropy, DataProtectionScope.CurrentUser);
对密码进行加密,不知是否域管理员可以解密生成的斑点,如 Using Passwords Effectively状态:
然而,在域环境中 域管理员可以安全地更改您的密码 ,并且您仍然可以通过 访问您的加密文件。
似乎域管理员必须首先解密数据(或更确切地说,加密的主密钥),以便能够使用不同的密码对其进行重新加密。
简短的回答:他可能不能立即开箱,但域管理员是强大的。如果他们真的需要,他们可以通过很多方式获得钥匙。
长答案:DPAPI使用密钥加密您的数据。 IIRC,它使用AES,每90天更换一次密钥。密钥存储在您的计算机上,并使用您的密码进行加密。这是默认设置,它可以将您的密钥保存在除您以外的任何人的范围之外。
除非您的域管理员远程安装密钥记录器,窃取您的密码,冒充您并窃取您的密钥(或直接转到他现在以纯文本形式看到的数据)。
另一个鲜为人知的事实是,当在Active Directory上启用Credential Roaming时,它会将您的加密密钥发送到服务器。域管理员可以使用该副本进行脱机攻击。但这很难,除非你的数据非常有价值,否则我不会担心。
答案是肯定的,只要他也有存取权限的熵键(如果创建一个),或者,如果他愿意,并有足够的能力攻入斑点(见下面的链接)。
对于DPAPI中的主密钥(在当前用户模式下),Windows登录用户名和密码用于生成主密钥。 如果管理员更新用户的域密码,DPAPI将重新编码该用户的主密钥。如果由于例如用户更新他的密码,情况也是如此。每月密码更改政策。
但是,如果他无权访问可选的熵密钥或组成该密钥的数据,则该文件将保持加密状态,并且他将获得的所有数据都是无效数据。
如果DPAPI在CurrentMachine模式中使用,该文件只可以在加密它的计算机上解密,但是该文件将是可读的,以所有帐户在该计算机上,再提供它们也可以鼓起内容的熵密钥。
的信息,一个好的仓库是DPAPI Secrets和this paper on reverse-enginerring DPAPI + link to a tool that can recover data from DPAPI blobs
这属于对serverfault.com – 2011-01-24 08:52:53