Энтропия - это вторичный ключ, специфичный для приложения, защищающего данные. Общая идея, если я правильно помню, состояла в том, чтобы позволить нескольким приложениям шифровать данные под одной учетной записью пользователя, но при этом поддерживать безопасность между собой. Например, Ваше приложение может шифровать данные в соответствии с UserA. Если мое приложение хотело бы расшифровать эти данные в UserA, на самом деле ничто не мешало бы мне сделать это, так как DPAPI использует ключ пользователя. Однако, если вы учитываете «энтропию» для конкретного приложения, то мне нужно знать вашу энтропию для расшифровки любых данных, которые необходимо защитить для пользователя A.
Энтропия может считаться аналогом соли в том смысле, что это дополнительный ключ или секрет, используемый для дальнейшего абстрагирования зашифрованного содержимого. В отличие от соли, энтропия вашего приложения должна оставаться неизменной для каждой операции шифрования с заданными учетными данными. С солью, как правило, лучше менять его так часто, как только можете.
Энтропия - это, по сути, дополнительный ключ, и его следует рассматривать как любой другой криптографический ключ. Держите это в тайне и в безопасности.
Кстати, я думаю, что «энтропия» была отвратительным словом для этой цели. Нечто подобное «дифференцирующему» или, возможно, даже придумавшее слово «отличительный», было бы лучше. : P Очень запутанный термин использования.