基本介紹
(Cryptography Next Generation,CNG) 是 CryptoAPI 的替代物。在 Windows Vista 和 Windows Server 2008 中引入了新的加密 API 以替代舊的 CryptoAPI,舊的 CryptoAPI 植根于早期版本的 Windows NT 和 Windows 95。下一代加密技術(CNG) 旨在長期替代 CryptoAPI。
Windows Vista 和 Windows Server 2008中對加密服務核心的改進體現在兩方面。首先,通過引進下一代加密技術 (CNG),Windows 現在提供一種可插入的、協議不可知的加密功能,此功能使得以編程方式開發和訪問獨立算法更加輕松。其次,CNG 還新增了對 SuITe B 算法的支持,該算法在 2005 年由 National Security Agency (NSA) 引入。
功能
提供這些新功能的同時,CNG 還與其處理器 CryptoAPI 1.0 中提供的算法集完全向後兼容。目前,CNG 正在接受通過聯邦信息處理标準 (FIPS) 140-2 級别 2 認證以及成為所選平台的通用準則所需的評估。
算法
CNG Suite B 支持包括所需的所有算法:AES(所有密鑰大小)、SHA-2 系列(SHA-256、SHA-384 和 SHA-512)哈希算法、橢圓曲線 Diffie-Hellman (ECDH) 以及以美國國家标準與技術研究院 (NIST) 标準原始曲線 P-256、P-384 和 P-521 為标準的橢圓曲線數字簽名算法 (ECDSA)。NSA 已表明,經過認證的 Suite B 實現将用于保護以下類别的信息:Top Secret、Secret 以及過去被描述為 Sensitive-But-Unclassified 的隐私信息。所有 Suite B 算法的開發都采取公開形式,其他一些政府也在探索嘗試采用 Suite B 算法作為國家标準。
對 Windows PKI 平台的這些低級别改進為開發人員保護數據提供了更安全的方法,同時還創建了易于維護和随時間改進的子系統。由于 CNG 是可插入的體系結構,所以可根據需要添加新算法,CNG 會從應用程序層抽象出這些提供程序。最終結果是,Windows Vista 和 Windows Server 2008 的設計旨在為開發支持 PKI 的應用程序和服務提供高級的可發展平台。
CNG提供一種高靈活性的加密開發平台,使得IT專業人員能在活動目錄的證書服務(AD CS)、安全套接層(SSL)和IPSec等相關加密應用中創建、更新并使用定制加密算法。CNG采用美國政府的Suite B算法,其中包括加密、數字簽名、密鑰交換和哈希等算法。
CNG提供一套API,可用來執行諸如創建、存儲和檢索加密密鑰等基本的加密操作。它還能安裝和使用更多加密供應商的算法。CNG使企業和開發人員既能使自己的加密算法,又能采用标準的加密算法。
CNG支持當前的CryptoAPI 1.0 系列算法,還支持橢圓曲線加密(ECC)算法。美國政府的Suite B标準算法采用許可ECC算法。
