Coldkey ist ein Kommandozeilen-Werkzeug zum Generieren von Post-Quanten-Alter-Verschlüsselungsschlüsseln und zur Erstellung von Papier-Backups. Es löst das Problem des Verlusts von Alte privaten Schlüsseln – die zum Entschlüsseln von mit age oder sops verschlüsselten Dateien notwendig sind – indem es druckbare HTML-Dokumente mit QR-Codes erstellt.

Installation

# Homebrew (macOS/Linux)
brew install --cask pike00/tap/coldkey

Oder mit Go
go install github.com/pike00/coldkey/cmd/coldkey@latest

Schnellstart mit Docker (empfohlen)

# Image ziehen
docker pull ghcr.io/pike00/coldkey:latest

Interaktiv – einen Schlüssel und ein Papier-Backup erstellen
just docker-run
Ein vorhandenes Backup erstellen
just docker-backup /.config/sops/age/keys.txt

Alle just docker-* Befehle enthalten Sicherheits-Härtungsflags: --network none, --read-only, --cap-drop ALL, --security-opt no-new-privileges:true. Die Ausgabe wird in ./output/ geschrieben.

Befehle

• Interaktiver Modus (coldkey): Menü zum Generieren eines neuen Schlüssels oder zum Erstellen eines Backups von einem vorhandenen.
• Generieren (coldkey generate [-o PFAD] [-f] [--no-backup]): Erzeugt ein neues Post-Quanten-Alter-Schlüsselpaar (ML-KEM-768 + X25519). Standardmäßig Ausgabe auf stdout, außer wenn -o angegeben.
• Backup (coldkey backup [flags] SCHLÜSSELDATEI): Erstellt ein druckbares HTML-Papier-Backup aus einer vorhandenen Schlüsseldatei.
• Version (coldkey version): Gibt die Versionszeichenkette aus.

Sicherheitsmodell

• Speicher: Verwendet mlockall(MCL_CURRENT|MCL_FUTURE) um das Auslagern von Schlüsselmaterial auf die Festplatte zu verhindern.
• Dateien: Werden mit Modus 0600 geschrieben, fsynced; temporäre Dateien werden vernichtet (3-fach-Überschreiben).
• Prozess: Geheimnisse werden nur über stdin/Dateien übergeben, niemals in Prozessargumenten.
• Container: Distroless/static:nonroot-Image ohne Shell, nicht-root UID 65534.
• Speicher löschen: Best-Effort secure.Zero() auf Schlüssel-Puffern vor der GC.

QR-Code-Kodierung

Post-Quanten-Alter-Schlüssel speichern nur einen 32-Byte-Seed, daher ist keys.txt typischerweise ~2.089 Bytes groß – passend in einen einzelnen QR-Code (Version 40, EC-L unterstützt 2.953 Bytes). Für größere Dateien teilt coldkey sie in mehrere QR-Codes auf, die ein Rahmenprotokoll verwenden: COLDKEY:<Teil>/<Gesamt>:<Daten>. Wiederherstellung: Alle QR-Codes der Reihe nach scannen, Präfixe entfernen, verketten und SHA-256-Prüfsumme verifizieren.

Inhalt des Papier-Backups

Das generierte HTML enthält: Titel/Metadaten (Datum, Hostname, Benutzer, Quellpfad), rohen Schlüsseltext in Monospace, QR-Code(s) mit Kapazitätsangabe, SHA-256-Prüfsumme und Schritt-für-Schritt-Wiederherstellungsanleitung.

Wiederherstellungsverfahren

1. QR-Code scannen oder rohen Schlüsseltext abtippen.
2. In /.config/sops/age/keys.txt speichern.
3. Überprüfen: sha256sum keys.txt muss mit der gedruckten Prüfsumme übereinstimmen.
4. Test: sops -d <beliebige .sops-Datei>

Einschränkungen

Gos Garbage Collector kann Objekte im Speicher kopieren, und Go-Strings sind unveränderlich – Schlüsselmaterial, das als String (z.B. von identity.String()) gehalten wird, kann nicht sicher gelöscht werden. Coldkey führt Best-Effort-Löschung auf Byte-Puffern durch.