Keyboard shortcuts

Press or to navigate between chapters

Press S or / to search in the book

Press ? to show this help

Press Esc to hide this help

Cryptographie & clés F

Le cœur du système. Architecture complète décidée — chiffrement convergent, hiérarchie CK/CMK/KEK, custody managé + ZK, coffre OpenBao souverain.

  • Chiffrement convergent à cléSecret par tenant, BLAKE3_keyed + XChaCha20-Poly13059af2
  • Portée / secret par tenantOracle confiné à la flotte du revendeur4d8e
  • Hiérarchie CK / CMK / KEKDédup et récupération à deux étages séparésa8e0
  • Rotation de cléLoi de la pyramide : KEK instantanée, CMK bornée, CK par attrition (époques)a8e0
  • KDF Argon2idParamètres avec le sel, calibrés à l'enrôlement (~1-2 s), plancher RFC 9106 (64 Mio)9af2
  • Custody / récupérationManagé (défaut) + Zéro-connaissance à la demandea8e0
  • Coffre de clés (KMS/HSM)OpenBao auto-hébergé (Transit) — HSM optionnel selon exigences contractuellesf1c0
  • Résistance post-quantiqueDonnées au repos nativement résistantes (tout symétrique 256 bits) ; TLS hybride ML-KEM et signatures hybrides à venirpq