我们有一个应用程序将数据加密/解密为DataProtectionScope.LocalMachine。我们现在必须将范围更改为DataProtectionScope.CurrentUser。
当范围更改为LocalMachine时,在CurrentUser范围内加密的现有字符串是否仍然可读,假设用户当然登录到同一台计算机?
private void btnUserEncrypt_Click(object sender, EventArgs e)
{
//encrypt data
var data = Encoding.Unicode.GetBytes(txtUserEncrypt.Text);
byte[] encrypted = ProtectedData.Protect(data, null, DataProtectionScope.CurrentUser);
txtUserEncrypt.Text = Convert.ToBase64String(encrypted);
}
private void btnUserDecrypt_Click(object sender, EventArgs e)
{
byte[] data = Convert.FromBase64String(txtUserDecrypt.Text);
//decrypt data
byte[] decrypted = ProtectedData.Unprotect(data, null, DataProtectionScope.CurrentUser);
txtUserDecrypt.Text = Encoding.Unicode.GetString(decrypted);
}
private void btnMachineEncrypt_Click(object sender, EventArgs e)
{
//encrypt data
var data = Encoding.Unicode.GetBytes(txtMachineEncrypt.Text);
byte[] encrypted = ProtectedData.Protect(data, null, DataProtectionScope.LocalMachine);
txtMachineEncrypt.Text = Convert.ToBase64String(encrypted);
}
private void btnMachineDecrypt_Click(object sender, EventArgs e)
{
byte[] data = Convert.FromBase64String(txtMachineDecrypt.Text);
//decrypt data
byte[] decrypted = ProtectedData.Unprotect(data, null, DataProtectionScope.LocalMachine);
txtMachineDecrypt.Text = Encoding.Unicode.GetString(decrypted);
}
答案 0 :(得分:9)
解密DPAPI加密数据时,将忽略数据保护范围。
DPAPI解密例程检查加密blob中的元数据,以查看用于加密的范围,并使用相同的范围进行解密,而不管您指定的范围如何。因此,如果使用计算机作用域对数据进行加密,然后在“使用”用户作用域(在同一台计算机上)对其进行解密,则可以正常工作,因为它仍将使用计算机作用域进行解密。如果要验证,请尝试将使用计算机范围加密的数据移动到其他系统,并使用相同的用户帐户对其进行解密。你会发现这会失败。或者,您可以尝试在使用其他帐户登录时解密这些数据(在这种情况下,它也会起作用)。
所以,你的问题的答案是:是的,如果你使用带有机器范围的DPAPI加密数据并尝试解密它通过用户范围(在同一台机器上),它会起作用,但只是因为它会忽略用户解密期间的范围。