SecureString 是否在 Windows 上运行的 .NET 5 和 .NET Core 中加密？

SecureString 在 .NET 5+ 和 Windows 上运行的 .NET Core 中加密。

来自.NET 5 documentation：

在 Windows 操作系统上，SecureString 实例的内部字符数组的内容是加密的。

但是最好完整阅读该页面。

同样的句子也出现在 .NET Core documentation 中，适用于 .NET Core 3.0 和 2.0。

Microsoft 建议使用 store secrets outside of the process and to use opaque handles 访问它们，这比使用 SecureString 更可取。换句话说，使用 SecureString 的主要目的是固定并尽可能短地以任何形式将秘密存储在进程内存中，而不是加密。短暂的“实时”存储期限当然是开发者的责任，而不是 SecureString 本身的责任。

SecureString 的加密可以提供有用的深度防御的一些用例是，如果机密以较小的增量到达，相对较快（例如在键盘密码输入期间），以及 SecureString可以快速使用（例如，re-protected 并存储在其他地方）并在收到秘密的最后一位后立即处理。相比之下，将预先存在的 String 复制到循环中的 SecureString 总是毫无意义的：无论如何你应该很快处理 SecureString，而秘密已经泄露转移到未固定的托管内存，因此即使在您处置 SecureString 之后，其纯文本副本也可能永远存在于进程中。

SecureString 的来源有一个 EncryptionSupported Method（见下文），它结合 CheckSupportedOnCurrentPlatform Method 检查是否支持加密，否则会抛出异常。

在我看来，除非它在 ​​.NET Core 或 .NET Framework 上运行，否则 Windows 支持 SecureString。

https://github.com/microsoft/referencesource/blob/master/mscorlib/system/security/securestring.cs

    [System.Security.SecurityCritical]  // auto-generated
        unsafe static bool EncryptionSupported() {
            // check if the enrypt/decrypt function is supported on current OS
            bool supported = true;                        
            try {
                Win32Native.SystemFunction041(
                    SafeBSTRHandle.Allocate(null,(int)Win32Native.CRYPTPROTECTMEMORY_BLOCK_SIZE),Win32Native.CRYPTPROTECTMEMORY_BLOCK_SIZE,Win32Native.CRYPTPROTECTMEMORY_SAME_PROCESS);
            }
            catch (EntryPointNotFoundException) {
                supported = false;
            }            
            return supported;
        }


     private void CheckSupportedOnCurrentPlatform() {
            if( !supportedOnCurrentPlatform) {
                throw new NotSupportedException(Environment.GetResourceString("Arg_PlatformSecureString"));
            }                            
            Contract.EndContractBlock();
        }