基本介紹
(Cryptography Next Generation,CNG) 是 CryptoAPI 的替代物。在 Windows Vista 和 Windows Server 2008 中引入了新的加密 API 以替代舊的 CryptoAPI,舊的 CryptoAPI 植根於早期版本的 Windows NT 和 Windows 95。下一代加密技術(CNG) 旨在長期替代 CryptoAPI。
Windows Vista 和 Windows Server 2008中對加密服務核心的改進體現在兩方面。首先,通過引進下一代加密技術 (CNG),Windows 現在提供一種可插入的、協定不可知的加密功能,此功能使得以編程方式開發和訪問獨立算法更加輕鬆。其次,CNG 還新增了對 Suite B 算法的支持,該算法在 2005 年由 National Security Agency (NSA) 引入。
功能
CNG 提供了大量的以開發人員為目標對象的功能,其中包括更方便的算法發現和替換、可替換的隨機數生成器和一個核心模式加密 API。提供這些新功能的同時,CNG 還與其處理器 CryptoAPI 1.0 中提供的算法集完全向後兼容。目前,CNG 正在接受通過聯邦信息處理標準 (FIPS) 140-2 級別 2 認證以及成為所選平台的通用準則所需的評估。
算法
CNG Suite B 支持包括所需的所有算法:AES(所有密鑰大小)、SHA-2 系列(SHA-256、SHA-384 和 SHA-512)哈希算法、橢圓曲線 Diffie-Hellman (ECDH) 以及以美國國家標準與技術研究院 (NIST) 標準原始曲線 P-256、P-384 和 P-521 為標準的橢圓曲線數字簽名算法 (ECDSA)。NSA 已表明,經過認證的 Suite B 實現將用於保護以下類別的信息:Top Secret、Secret 以及過去被描述為 Sensitive-But-Unclassified 的隱私信息。所有 Suite B 算法的開發都採取公開形式,其他一些政府也在探索嘗試採用 Suite B 算法作為國家標準。
對 Windows PKI 平台的這些低級別改進為開發人員保護數據提供了更安全的方法,同時還創建了易於維護和隨時間改進的子系統。由於 CNG 是可插入的體系結構,所以可根據需要添加新算法,CNG 會從應用程式層抽象出這些提供程式。最終結果是,Windows Vista 和 Windows Server 2008 的設計旨在為開發支持 PKI 的應用程式和服務提供高級的可發展平台。
CNG提供一種高靈活性的加密開發平台,使得IT專業人員能在活動目錄的證書服務(AD CS)、安全套接層(SSL)和IPSec等相關加密套用中創建、更新並使用定製加密算法。CNG採用美國政府的Suite B算法,其中包括加密、數字簽名、密鑰交換和哈希等算法。
CNG提供一套API,可用來執行諸如創建、存儲和檢索加密密鑰等基本的加密操作。它還能安裝和使用更多加密供應商的算法。CNG使企業和開發人員既能使自己的加密算法,又能採用標準的加密算法。
CNG支持當前的CryptoAPI 1.0 系列算法,還支持橢圓曲線加密(ECC)算法。美國政府的Suite B標準算法採用許可ECC算法。