KEK (Key Encryption Key)

Une KEK (Key Encryption Key) est la clé symétrique servant à chiffrer d'autres clés, typiquement des DEK (Data Encryption Keys) dans le modèle d'envelope encryption. Stockée dans un HSM ou un KMS, elle est par construction beaucoup moins exposée que les DEK : elle ne touche jamais directement les données et reste rarement exfiltrable. Le NIST SP 800-57 recommande KEK ≥ 256 bits, rotation tous les 1-5 ans, et stockage dans un module FIPS 140-3. La hiérarchie multi-niveaux (KEK → DEK) est le standard de fait du chiffrement at-rest moderne.