暗号
マスター鍵
別称: ルート鍵, Master Encryption Key (MEK)
定義
他の鍵を導出したり、他の鍵を直接暗号化したりするために用いる、長期に保有する高価値の暗号鍵。
マスター鍵は、ユーザーデータを直接暗号化するのではなく、他の鍵を生成・保護・ラップするために用いる長寿命の暗号鍵です。代表的な利用形態としては、AWS KMS、GCP KMS、Azure Key Vault などの envelope encryption において短命のデータ暗号化鍵(DEK)をラップする鍵暗号化鍵(KEK)、HKDF の "master secret" や BIP32 ウォレットのマスター鍵のような階層型 KDF のシード、TDE 系システムにおけるデータベースマスター鍵などがあります。マスター鍵が漏洩するとそれが保護するすべてが侵害されるため、HSM、TPM、セキュアエンクレーブに保管し、短い暗号操作にのみ使い、文書化されたクリプトピリオドに沿ってローテーションし、厳格な認証と監査ポリシーでアクセスを制限します。
例
- AWS KMS のカスタマーマスターキー(CMK)は、S3 サーバーサイド暗号化が使うデータキーをラップする。
- BIP32 階層的決定性ウォレットでは、単一のマスターシードからすべての口座鍵を導出する。
関連用語
暗号鍵
暗号アルゴリズムをパラメータ化し、データの暗号化・復号・署名・認証に用いる高エントロピーな秘密または公開値。
セッション鍵
1 回の通信セッションを保護するために使われ、終了後に破棄される短命の対称鍵。
鍵導出関数(KDF)
パスワードや共有秘密、マスター鍵などの秘密入力から、1 つまたは複数の強力な暗号鍵を導出する暗号関数。
鍵ローテーション
1 つの鍵で保護されるデータ量と漏洩時の影響範囲を抑えるため、暗号鍵を定期的に新しいものへ置き換える運用慣行。
キーエスクロー
暗号鍵のコピーを信頼できる第三者に預け、所定の条件下で権限ある主体が回復できるようにする仕組み。
暗号化
アルゴリズムと鍵を用いて平文を暗号文に変換し、認可された当事者のみが元のデータを復元できるようにする処理。