Могу ли я одновременно использовать LocalMachine и CurrentUser?

-4

Как я могу одновременно использовать LocalMachine и CurrentUser в области API защиты данных? Я хотел бы повысить безопасность.

спросил(а) 2020-04-04T00:59:42+03:00 6 месяцев, 2 недели назад
1
1 ответ
-4

Ты не можешь. У них разные цели. С помощью защиты LocalMachine все секреты защищены (в конечном итоге) 20-байтовым LSA-секретным DPAPI_SYSTEM, который одинаково для всех пользователей на данной машине. Таким образом, любой пользователь может расшифровать блок данных во время входа в систему.

С помощью CurrentUser только текущий пользователь (или администраторы домена Windows, к которому принадлежит машина), при регистрации может расшифровать данные, поскольку секрет защищен хэш-значением его пароля для входа.

Таким образом, добавление LocalMachine только снижает безопасность в том, что больше людей (потенциально) имеют к нему доступ. И текущая настройка криптосистемы в системе (которая скрыта от программиста) вообще не учитывает ее.

Единственный способ, которым я мог бы использовать оба варианта, - использовать DPAPI дважды: использовать LocalMachine для защиты секретности, некоторого blob B, а затем защитить этот новый blob с флагом CurrentUser до нового окончательного blob. (возможен и другой порядок). Но он ничего не улучшает: один и тот же пользователь может получить к нему доступ, он занимает всего два раза.

ответил(а) 2020-04-04T01:16:21.472106+03:00 6 месяцев, 2 недели назад
Ваш ответ
Введите минимум 50 символов
Чтобы , пожалуйста,
Выберите тему жалобы:

Другая проблема