密鑰的安全存儲是對靜態密鑰的保護，保護方法有以下兩種：

1.基於口令的軟保護

基於口令的軟保護就是基於用戶口令,使用對稱密鑰算法來加密密鑰。當然,使用對稱密鑰算法本身也需要密鑰,這類密鑰就是密鑰加密密鑰。KEK並不需要存儲和保護,因為當需要一個KEK用於加密時,用戶可以馬上生成,使用完畢後就銷毀它。當他需要解密數據時,可以再次生成同樣的密鑰,使用完畢後銷毀它。用戶用一個隨機數發生器或偽隨機數發生器生成一個會話密鑰,用基於口令的方法來構造KEK。

2.基於硬件的物理保護

為了實現密鑰的物理隔離保護，需要將密鑰存儲於與計算機相分離的某種物理設備中。這就是基於硬件的物理保護，用於存儲密鑰的硬件是一類成為標牌的微型計算。

標牌是一種小到可以放入錢夾或襯衫口袋的東西，例如一個塑料的智能卡、塑料鑰匙、一個智能卡和閱讀器小的USB盤，甚至可以製成戴在手指上的戒子。它裏面有一個帶處理器的晶片、操作系統、有限的輸入輸出端口、存儲器和硬驅存儲空間。當需要使用標牌中的密鑰處理數據時,就可以將它從卡上傳輸到計算機，然後用它加、解密數據。

攻擊者不能訪問到它們是標牌的優點,因為它們並不與互聯網相連,因此可以防止遠程攻擊，實現物理隔離。另外,標牌還可受到口令或PIN的保護,具有防抵禦的功能,若有人企圖物理地訪問其存儲空間,標牌將自我銷毀。儘管標牌在使用時需與計算機相連接,並最終連接到網絡,但這只是很短暫的,比不断存放於網絡上更安全些。

標牌存在的主要問題是它們需要有某種方式與計算機通信,如串口、USB口,甚至軟驅一些還使用相應的閱讀器,這可能涉及系統資源的佔用和更多的投資。