Cryptographie

Enveloppe cryptographique (envelope encryption)

L'envelope encryption est un pattern d'architecture où chaque blob de données est chiffré par une clé unique (DEK), elle-même protégée par une clé maîtresse (KEK) gérée par un HSM ou un KMS. Recommandé par NIST SP 800-57 et l'ANSSI, ce modèle découple le cycle de vie des données et celui des clés, permet une rotation des KEK sans re-chiffrer toutes les données, et limite le rayon de compromission. Mis en œuvre par AWS KMS, Google Cloud KMS, Azure Key Vault, HashiCorp Vault et MAFATE.

Termes liés

DEK (Data Encryption Key)
KEK (Key Encryption Key)
KMS (Key Management Service)

Ce site utilisé uniquement des cookies strictement nécessaires au fonctionnement du service. Aucun cookie publicitaire ou de traçage n'est utilisé.