Cryptographie & clés F
Le cœur du système. Architecture complète décidée — chiffrement convergent, hiérarchie CK/CMK/KEK, custody managé + ZK, coffre OpenBao souverain.
- ✓Chiffrement convergent à cléSecret par tenant, BLAKE3_keyed + XChaCha20-Poly13059af2
- ✓Portée / secret par tenantOracle confiné à la flotte du revendeur4d8e
- ✓Hiérarchie CK / CMK / KEKDédup et récupération à deux étages séparésa8e0
- ✓Rotation de cléLoi de la pyramide : KEK instantanée, CMK bornée, CK par attrition (époques)a8e0
- ✓KDF Argon2idParamètres avec le sel, calibrés à l'enrôlement (~1-2 s), plancher RFC 9106 (64 Mio)9af2
- ✓Custody / récupérationManagé (défaut) + Zéro-connaissance à la demandea8e0
- ✓Coffre de clés (KMS/HSM)OpenBao auto-hébergé (Transit) — HSM optionnel selon exigences contractuellesf1c0
- ✓Résistance post-quantiqueDonnées au repos nativement résistantes (tout symétrique 256 bits) ; TLS hybride ML-KEM et signatures hybrides à venirpq