¿Cuál es el protocolo adecuado para almacenar claves criptográficas para su uso?

Esto significará implementar un fuerte control de acceso, auditoría y registro de sus claves. Las claves deben almacenarse en una ubicación segura y “alejada” de los datos cifrados. Esto significa que los datos clave no deben almacenarse en servidores web, servidores de bases de datos, etc.
El acceso a las claves debe estar restringido a la menor cantidad de usuarios posible. Idealmente, este grupo de usuarios serán usuarios altamente confiables y capacitados para realizar tareas de custodia clave. Obviamente, se requerirá que las cuentas del sistema / servicio accedan a los datos clave para realizar el cifrado / descifrado de datos.
Las claves en sí mismas no deben almacenarse de forma clara sino cifradas con una KEK (Clave de cifrado de clave). El KEK no debe almacenarse en la misma ubicación que las claves de cifrado que está cifrando. Las claves deben permanecer en una bóveda de claves protegidas en todo momento. En particular, asegúrese de que haya una brecha entre los vectores de amenaza que tienen acceso directo a los datos y los vectores de amenaza que tienen acceso directo a las claves. Esto implica que las claves no deben almacenarse en la aplicación o en el servidor web (suponiendo que los atacantes de aplicaciones sean parte del modelo de amenaza relevante).