Где хранить ключи шифрования?

Пишите вы мессенджер, пускай будет веб, где вы будет хранить ключи шифрования? В файле .env? Просто если взять недавнюю новость о том, что Дурова арестовали и требовали ключи. То в чем проблема арестовать сервера, залезть в код и получить эти ключи? Даже если ключи хранятся на других серверах, то в любом случае по api они его передают при шифровании того же сообщения.