Windows的公開金鑰基礎結構(PKI)增強功能

　　Windows 從 Windows 2000 版本起即開始為公開金鑰基礎結構 (PKI) 提供強健的、平台範圍的支援。該版本包含第一個本機憑證授權單位功能，引入了自動註冊，並為智慧卡身分識別驗證提供支援。在 Windows XP 和 Windows Server 2003 中，這些功能已得到擴充，可通過版本 2 憑證範本提供更靈活的註冊選項，並支援自動註冊使用者認證。在 Windows Vista® 和 Windows Server® 2008(以前的代號為“Longhorn”)中，Windows® PKI 平台又向前邁了一步，支援進階演算法、即時有效性檢查，可管理性也更好。本專欄將討論 Windows Vista 和 Windows Server 2008 中新增的 PKI 功能，以及企業如何利用這些功能來降低成本和增加安全性。

　　Windows Vista 和 Windows Server 2008 中的 PKI 圍繞四個主要核心方面進行了改進：加密、註冊、可管理性和吊銷。除了這些特定功能的改進外，Windows PKI 平台還受益於其他的作業系統改進(如角色管理器)，這些改進使得建立和部署新的憑證授權單位 (CA) 更加輕鬆。另外，Windows 的其他許多部分都能夠利用 PKI 平台中的改進，如在 Windows Vista 中支援使用智慧卡儲存加密檔案系統 (EFS) 密鑰。

　　加密

　　對Data Encryption Service核心的改進體現在兩方面。首先，通過引進新一代密碼編譯 (CNG)，Windows 現在提供一種可插入的、協議不可知的加密功能，此功能使得以編程方式開發和訪問獨立演算法更加輕鬆。其次，CNG 還新增了對 Suite B 演算法的支援，該演算法在 2005 年由 National Security Agency (NSA) 引入。

　　CNG 是 Microsoft 的一個新型核心加密介面，也是針對將來基於 Windows 和支援加密的應用程式建議使用的 API。CNG 提供了大量的以開發人員為目標對象的功能，其中包括更方便的演算法發現和替換、可替換的隨機數產生器和一個核心模式加密 API。提供這些新功能的同時，CNG 還與其處理器 CryptoAPI 1.0 中提供的演算法集完全向後相容。目前，CNG 正在接受通過聯邦資訊處理標準 (FIPS) 140-2 層級 2 認證以及成為所選平台的通用準則所需的評估。