Masterschlüssel

Ein Masterschlüssel ist ein langlebiger Kryptoschlüssel, dessen Hauptaufgabe darin besteht, andere Schlüssel zu erzeugen, zu schützen oder einzupacken — nicht, Nutzerdaten direkt zu verschlüsseln. Typische Muster sind die Verwendung als Key Encryption Key (KEK), der kurzlebige Data Encryption Keys (DEKs) in Envelope-Encryption-Verfahren umschließt (AWS KMS, GCP KMS, Azure Key Vault), als Seed für eine hierarchische KDF (HKDF-"master secret", BIP32-Wallet-Masterkeys) oder als Datenbank-Masterschlüssel in TDE-ähnlichen Systemen. Da die Kompromittierung des Masterschlüssels alles betrifft, was er schützt, werden Masterkeys in HSMs, TPMs oder Secure Enclaves gespeichert, nur für kurze Kryptoperationen genutzt, gemäß dokumentierter Kryptoperioden rotiert und durch strenge Authentifizierungs- und Audit-Richtlinien geschützt.