1. Если приложение серверное, то app.config шифруется стандартным способом . Ключ шифрования хранится в операционной системе на хосте, где развёрнуто приложение.
2. Если приложение клиентское, то вариант 1 отпадает (им можно пользоваться, но придётся криптовать конфиг на каждом хосте,, где будет работать приложение). Соответственно, криптование будет самописным, и ключ не должен храниться ни в самом приложении, ни в его окружении (ОС, файловая система, БД, итд). Из всего вышеперечисленного здесь подходит только вариант со smart card/etoken. Ну, или пользователь сам должен аутентифицироваться в приложении (вводить пароль).
3. Если в app.config криптуются какие-нибудь строки подключения (к базе данных, например), то самый разумный выход - трёхзвенка. App.config её серверной части криптуется способом из п.1.