Entry № 732
マスター鍵
マスター鍵 とは何ですか?
マスター鍵他の鍵を導出したり、他の鍵を直接暗号化したりするために用いる、長期に保有する高価値の暗号鍵。
マスター鍵は、ユーザーデータを直接暗号化するのではなく、他の鍵を生成・保護・ラップするために用いる長寿命の暗号鍵です。代表的な利用形態としては、AWS KMS、GCP KMS、Azure Key Vault などの envelope encryption において短命のデータ暗号化鍵(DEK)をラップする鍵暗号化鍵(KEK)、HKDF の "master secret" や BIP32 ウォレットのマスター鍵のような階層型 KDF のシード、TDE 系システムにおけるデータベースマスター鍵などがあります。マスター鍵が漏洩するとそれが保護するすべてが侵害されるため、HSM、TPM、セキュアエンクレーブに保管し、短い暗号操作にのみ使い、文書化されたクリプトピリオドに沿ってローテーションし、厳格な認証と監査ポリシーでアクセスを制限します。
● 例
- 01
AWS KMS のカスタマーマスターキー(CMK)は、S3 サーバーサイド暗号化が使うデータキーをラップする。
- 02
BIP32 階層的決定性ウォレットでは、単一のマスターシードからすべての口座鍵を導出する。
● よくある質問
マスター鍵 とは何ですか?
他の鍵を導出したり、他の鍵を直接暗号化したりするために用いる、長期に保有する高価値の暗号鍵。 サイバーセキュリティの 暗号 カテゴリに属します。
マスター鍵 とはどういう意味ですか?
他の鍵を導出したり、他の鍵を直接暗号化したりするために用いる、長期に保有する高価値の暗号鍵。
マスター鍵 からどのように防御しますか?
マスター鍵 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
マスター鍵 の別名は何ですか?
一般的な別名: ルート鍵, Master Encryption Key (MEK)。