Chave-mestra
O que é Chave-mestra?
Chave-mestraChave de longa duração e elevado valor a partir da qual outras chaves são derivadas ou que cifra diretamente outras chaves.
Uma chave-mestra é uma chave criptográfica de longa duração cujo papel principal é gerar, proteger ou empacotar outras chaves, em vez de cifrar diretamente dados do utilizador. Padrões comuns incluem o seu uso como Key Encryption Key (KEK) que empacota Data Encryption Keys (DEKs) efémeras em esquemas de envelope encryption (AWS KMS, GCP KMS, Azure Key Vault), como semente para uma KDF hierárquica ("master secret" do HKDF, chaves-mestras BIP32 em carteiras) ou como chave-mestra de base de dados em sistemas tipo TDE. Como o seu comprometimento afeta tudo o que protege, as chaves-mestras são guardadas em HSMs, TPMs ou enclaves seguros, usadas apenas em operações curtas, sujeitas a rotação conforme cryptoperiods documentados e a controlos de acesso e auditoria rigorosos.
● Exemplos
- 01
Uma customer master key (CMK) do AWS KMS empacota as data keys usadas pela cifragem do lado do servidor do S3.
- 02
Uma carteira BIP32 hierárquica determinística deriva todas as chaves de conta a partir de uma única semente mestra.
● Perguntas frequentes
O que é Chave-mestra?
Chave de longa duração e elevado valor a partir da qual outras chaves são derivadas ou que cifra diretamente outras chaves. Pertence à categoria Criptografia da cibersegurança.
O que significa Chave-mestra?
Chave de longa duração e elevado valor a partir da qual outras chaves são derivadas ou que cifra diretamente outras chaves.
Como se defender contra Chave-mestra?
As defesas contra Chave-mestra costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Chave-mestra?
Nomes alternativos comuns: Chave raiz, Master Encryption Key (MEK).