шифрование данных и управление ключами в C #

Какой маршрут выбрать, какие плюсы и минусы, который более безопасен ..

1) Сгенерируйте ключ AES, зашифруйте данные с его помощью, а затем зашифруйте ключ AES с помощью RSA, сохранить зашифрованные данные и зашифрованный ключ AES в файл, а пару ключей RSA - в KeyContainer.

2) Или используйте класс DPAPI ProtectedData, чтобы зашифровать данные и сохранить их в файл, а затем сохранить энтропию, которую я использовал с ProtectedData.Protect () куда-нибудь .. (возможно, все так же зашифруйте его с помощью RSA, сохраните пару ключей RSA в KeyContainer и зашифрованную энтропию в файл с данными?)

РЕДАКТИРОВАТЬ: Просто для дополнительной информации: Мы необходимо защитить файловую систему наших приложений. Итак, любой файл, который приложение сохраняет в файловой системе, мы хотим, чтобы он был зашифрован. Скорее всего, файл используется тем же приложением или другим компонентом того же стека приложений.