^[1]В предыдущем посте о я показал насколько легко можно создать собственную секцию в конфигурационном файле ^[2]. Теперь я расскажу, как зашифровать любую секцию в конфиге, сделав это прозрачно для пользователя. С этим нам поможет встроенный в Windows DPAPI. DPAPI не требует пароля для шифрования и расшифровки, для этого используется встроенный в систему ключ привязанный к пользователю или машине. Когда технология только появилась, повсеместно практиковалось специальное консольное приложение aspnet_regiis, которое распространялось с ASP.NET. Но на деле  этот подход работает для любого конфига и оказался проще:

Вот собственно метод шифрования:

private static void EncryptConfigSection(string sectionKey)
{
Configuration config = ConfigurationManager.OpenExeConfiguration(ConfigurationUserLevel.None);
ConfigurationSection section = config.GetSection(sectionKey);
if (section != null)
{
if (!section.SectionInformation.IsProtected)
{
if (!section.ElementInformation.IsLocked)
{
section.SectionInformation.ProtectSection("DataProtectionConfigurationProvider");
section.SectionInformation.ForceSave = true;
config.Save(ConfigurationSaveMode.Full);
}
}
}
}

Вызвать его можно в начале выполнения программы.Чтобы зашифровать параметры соединения к базе данных, вызов метода делается так:

EncryptConfigSection("connectionStrings");