Clave maestra
¿Qué es Clave maestra?
Clave maestraClave de alto valor y larga duración a partir de la cual se derivan otras claves o que cifra directamente otras claves.
Una clave maestra es una clave criptográfica de larga vida cuya función principal es generar, proteger o envolver otras claves, no cifrar datos de usuario directamente. Los patrones habituales incluyen su uso como Key Encryption Key (KEK) que envuelve Data Encryption Keys (DEK) efímeras en esquemas de envelope encryption (AWS KMS, GCP KMS, Azure Key Vault), como semilla para una KDF jerárquica (el "master secret" de HKDF, las claves maestras BIP32 en monederos) o como master key de base de datos en sistemas tipo TDE. Como su compromiso afecta a todo lo que protege, las claves maestras se almacenan en HSM, TPM o enclaves seguros, se usan solo en operaciones cortas, se rotan según cryptoperiods documentados y su acceso está sujeto a autenticación estricta y auditoría detallada.
● Ejemplos
- 01
Una customer master key (CMK) de AWS KMS envuelve las data keys utilizadas por el cifrado del lado del servidor de S3.
- 02
Un monedero jerárquico determinista BIP32 deriva todas las claves de cuenta a partir de una única semilla maestra.
● Preguntas frecuentes
¿Qué es Clave maestra?
Clave de alto valor y larga duración a partir de la cual se derivan otras claves o que cifra directamente otras claves. Pertenece a la categoría de Criptografía en ciberseguridad.
¿Qué significa Clave maestra?
Clave de alto valor y larga duración a partir de la cual se derivan otras claves o que cifra directamente otras claves.
¿Cómo defenderse de Clave maestra?
Las defensas contra Clave maestra combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Clave maestra?
Nombres alternativos comunes: Clave raíz, Master Encryption Key (MEK).