密码学
主密钥
别称: 根密钥, Master Encryption Key (MEK)
定义
用于派生其他密钥或直接加密其他密钥的高价值长期密钥。
主密钥(master key)是一种长期使用的加密密钥,其主要作用是生成、保护或包装其他密钥,而不是直接加密用户数据。常见使用方式包括:作为密钥加密密钥(KEK)在 envelope encryption 方案中包装临时的数据加密密钥(DEK),例如 AWS KMS、GCP KMS、Azure Key Vault;作为分层 KDF 的种子(HKDF 的 "master secret"、BIP32 钱包的主密钥);或作为 TDE 类系统中的数据库主密钥。由于主密钥一旦泄露,所有受其保护的内容都会被攻破,因此主密钥必须存储在 HSM、TPM 或安全飞地中,仅用于短暂的加密操作,并按文档化的密钥有效期进行轮换,访问权限须严格受身份验证与审计策略限制。
示例
- AWS KMS 的客户主密钥(CMK)用于包装 S3 服务端加密所使用的数据密钥。
- BIP32 分层确定性钱包从一个主种子派生出全部账户密钥。