DPAPI-NG用.NETラッパーとユーザーグループアクセスの設定

Question

各ドメインにはいくつかのワークステーションがあり、それぞれには.NETアプリケーションがいくつか動作しています。 1つの中央サーバーには、適切なユーザーグループを持つシステムのすべてのユーザーがアクセスできるキーで暗号化したい秘密が格納されています。

.NETがDPAPIのラッパーを提供していることがわかりましたが、NCAPProtectSecretとNCreatProtectionDescriptionのラッパー関数が存在するDPAPI-NGにも同じことが当てはまるのでしょうか。さらに、自分のドメインの特定のユーザーグループだけが秘密の復号化を許可するように、ディスクリプタの設定についてはどうすればよいですか？

ラッパーがない場合は、ncrypt.dllをインポートしてそれを処理する必要があります。このライブラリの経験がある方は、このURLに最新のAPIがあることを確認できますhttps://msdn.microsoft.com/en-us/library/windows/desktop/hh706795(v=vs.85).aspx？

Answer 1

私は.NETがDPAPIのラッパーを提供していことがわかったが、同じことがNCryptProtectSecret

NCryptProtectSecretがreferencesource.microsoft.comにはヒットを持っていないため、ラッパー関数が存在DPAPI-NG、に適用される場合、私は思っていました。したがって、そのようなラッパーAPIがフレームワーク内に存在しない可能性があります。

このライブラリの経験がある方は、このURLに最新のAPIがあることを確認できますかhttps://msdn.microsoft.com/en-us/library/windows/desktop/hh706795(v=vs.85).aspx？

Win32の機能シグネチャは決して変更されません。ドキュメントには散文に誤りがあるかもしれませんが、API表面にはほとんど決して書かれていません。最も確実な方法は、宣言されているヘッダファイルのコピーを見つけることですが、実際にはa）名前付き定数は参照されていても値は提供されていないか、b）P/Invokeおよび理由を理解しようとしています。

クイック検索では、https://github.com/NuGet/NuGet.Operations/blob/master/src/NuGet.Services.Operations/Secrets/DpapiNg/NativeMethods.csにはP/Invokedが表示されています。 NuGetのApacheライセンスがあなたの用途/ニーズと両立していれば、結論を自分のものと比較することができます。