Seguridad: ¿Cómo almacenar Llave de encriptación localmente?

"Néstor Sánchez A." wrote in message
news:

¿cómo se podría almacenar la llave para que fuera accedida sólo por la
aplicación WinForms y no un usuario malicioso?

Alternativas:
- Un archivo: La clave tendría que a su vez estar encriptada para que no
fuera visible a simple vista.

No resuelve nada. Vuelves a tener el problema de cómo almacenas la clave
que sirve para desencriptar el archivo.

- En duro en la aplicación: El problema es que el programa se puede
decompilar (incluso si está ofuscado).

Cierto. Viene a ser lo mismo que almacenarla en un archivo.

- ¿Depender de un servicio del Sistema Operativo u otro ente externo?

El sistema operativo tiene un servicio para esto, que se llama DPAPI
(Data Protection API).

Otra alternativa: Utilizar criptografía de clave pública. La aplicación
cliente tiene (en un archivo sin encriptar) la clave pública (pero no la
privada) del servidor. Cuando tiene que comunicarse con éste, genera al azar
una clave de criptografía simétrica, la cifra mediante el algoritmo de clave
pública y se la envía al servidor. Nadie más la puede descifrar, ya que para
ello se necesita la correspondiente clave privada, que solo está en el
servidor. El servidor usa la clave privada para decodificar la clave
simétrica generada al azar, con lo que sólo él y el cliente tienen dicha
clave simétrica. Una vez completados estos preliminares, la comunicación
cliente/servidor se realiza empleando esta clave simétrica, que en ningún
momento ha estado grabada en ningún sitio del PC.

El proceso se puede sofisticar más si es necesario, por ejemplo, se puede
usar un certificado (en lugar de un simple fichero) para contener la clave
privada del servidor, para que no pueda ser falsificada.