重新启动后，将加密密钥保留在本地服务内存中的安全方法？

Question

我正在编写Windows服务，该服务从我们的Web服务器接收加密密钥。此关键永远不会留下内存，并用于加密和解密敏感数据。除了重新启动系统的情况外，这效果很好。在这种情况下，网络尚未可用（需要先进行身份验证），因此我的服务无法连接到服务器，但是它仍然需要获得加密密钥。

因此，我想知道在重新启动系统后是否有一种方法可以安全地将加密密钥保留在内存中（而无需将其保存到明文中的磁盘，这将暴露它）？

Answer 1

使用ncryptregisterProtectionDescriptOnname / ncryptCreateProtectionDescriptor以及ncryptProtectSecret / ncryptunprotectsecret？

这与Remy Lebeau的建议非常相似，仅使用已经存在的Windows API服务。它不会在内存中（由于靴子之间丢失内存），而是提供了存储此类数据的应有方法。