Coldkey: Schlüsselgenerierung und Papier-Backup-Tool für das Post-Quantenzeitalter

Coldkey ist ein Kommandozeilen-Werkzeug zum Generieren von Post-Quanten-Alter-Verschlüsselungsschlüsseln und zur Erstellung von Papier-Backups. Es löst das Problem des Verlusts von Alte privaten Schlüsseln – die zum Entschlüsseln von mit age oder sops verschlüsselten Dateien notwendig sind – indem es druckbare HTML-Dokumente mit QR-Codes erstellt.
Installation
# Homebrew (macOS/Linux)
brew install --cask pike00/tap/coldkey
Oder mit Go
go install github.com/pike00/coldkey/cmd/coldkey@latest
Schnellstart mit Docker (empfohlen)
# Image ziehen
docker pull ghcr.io/pike00/coldkey:latest
Interaktiv – einen Schlüssel und ein Papier-Backup erstellen
just docker-run
Ein vorhandenes Backup erstellen
just docker-backup /.config/sops/age/keys.txt
Alle just docker-* Befehle enthalten Sicherheits-Härtungsflags: --network none, --read-only, --cap-drop ALL, --security-opt no-new-privileges:true. Die Ausgabe wird in ./output/ geschrieben.
Befehle
- Interaktiver Modus (
coldkey): Menü zum Generieren eines neuen Schlüssels oder zum Erstellen eines Backups von einem vorhandenen. - Generieren (
coldkey generate [-o PFAD] [-f] [--no-backup]): Erzeugt ein neues Post-Quanten-Alter-Schlüsselpaar (ML-KEM-768 + X25519). Standardmäßig Ausgabe auf stdout, außer wenn-oangegeben. - Backup (
coldkey backup [flags] SCHLÜSSELDATEI): Erstellt ein druckbares HTML-Papier-Backup aus einer vorhandenen Schlüsseldatei. - Version (
coldkey version): Gibt die Versionszeichenkette aus.
Sicherheitsmodell
- Speicher: Verwendet
mlockall(MCL_CURRENT|MCL_FUTURE)um das Auslagern von Schlüsselmaterial auf die Festplatte zu verhindern. - Dateien: Werden mit Modus 0600 geschrieben, fsynced; temporäre Dateien werden vernichtet (3-fach-Überschreiben).
- Prozess: Geheimnisse werden nur über stdin/Dateien übergeben, niemals in Prozessargumenten.
- Container: Distroless/static:nonroot-Image ohne Shell, nicht-root UID 65534.
- Speicher löschen: Best-Effort
secure.Zero()auf Schlüssel-Puffern vor der GC.
QR-Code-Kodierung
Post-Quanten-Alter-Schlüssel speichern nur einen 32-Byte-Seed, daher ist keys.txt typischerweise ~2.089 Bytes groß – passend in einen einzelnen QR-Code (Version 40, EC-L unterstützt 2.953 Bytes). Für größere Dateien teilt coldkey sie in mehrere QR-Codes auf, die ein Rahmenprotokoll verwenden: COLDKEY:<Teil>/<Gesamt>:<Daten>. Wiederherstellung: Alle QR-Codes der Reihe nach scannen, Präfixe entfernen, verketten und SHA-256-Prüfsumme verifizieren.
Inhalt des Papier-Backups
Das generierte HTML enthält: Titel/Metadaten (Datum, Hostname, Benutzer, Quellpfad), rohen Schlüsseltext in Monospace, QR-Code(s) mit Kapazitätsangabe, SHA-256-Prüfsumme und Schritt-für-Schritt-Wiederherstellungsanleitung.
Wiederherstellungsverfahren
- QR-Code scannen oder rohen Schlüsseltext abtippen.
- In
/.config/sops/age/keys.txtspeichern. - Überprüfen:
sha256sum keys.txtmuss mit der gedruckten Prüfsumme übereinstimmen. - Test:
sops -d <beliebige .sops-Datei>
Einschränkungen
Gos Garbage Collector kann Objekte im Speicher kopieren, und Go-Strings sind unveränderlich – Schlüsselmaterial, das als String (z.B. von identity.String()) gehalten wird, kann nicht sicher gelöscht werden. Coldkey führt Best-Effort-Löschung auf Byte-Puffern durch.
📖 Vollständige Quelle lesen: HN LLM Tools
👀 Siehe auch

OpenClaw-Benutzer teilt Strategie zum Ausgleich zwischen Agentenautonomie und Websicherheit
Ein OpenClaw-Benutzer beschreibt seine aktuelle Herausforderung: das Gleichgewicht zwischen Agentenautonomie und Sicherheit, insbesondere in Bezug auf Webzugriff und Prompt-Injection-Risiken. Er schlägt eine Lösung vor, die 'geringes Vertrauen' und 'hohes Vertrauen' in Agentensegmenten mit einer menschlichen Genehmigungsstufe verwendet.

OpenClaw Sicherheit: Die gehärtete Basis, mit der Sie beginnen sollten
Selbst gehostetes OpenClaw ist nicht automatisch sicher. Ein Reddit-Beitrag beschreibt die gehärtete Baseline-Konfiguration: nur lokales Gateway, DM-Isolation pro Peer, Verweigerung von Runtime/FS/Automation-Tool-Gruppen, Exec gesperrt und mention-gesteuerte Gruppen.

Testen von unzensierten Qwen 3.5 35B-Modellen für Cybersicherheitsfragen
Ein Cybersicherheitsexperte testete drei unzensierte Qwen 3.5 35B-Modelle mit Fragen zu Hacking und Sicherheitsumgehungen und stellte erhebliche Unterschiede in der Antwortqualität im Vergleich zum ursprünglichen zensierten Modell fest. Die unzensierten Modelle lieferten konsequent Antworten, bei denen das Originalmodell entweder ablehnte oder unvollständige Antworten gab.

McpVanguard: Open-Source-Sicherheitsproxy für MCP-basierte KI-Agenten
McpVanguard ist ein 3-Schichten-Sicherheitsproxy und eine Firewall, die zwischen KI-Agenten und MCP-Tools sitzt und Schutz vor Prompt-Injection, Path-Traversal und anderen Angriffen mit einer Latenz von etwa 16 ms bietet.