Coldkey: Schlüsselgenerierung und Papier-Backup-Tool für das Post-Quantenzeitalter

✍️ OpenClawRadar📅 Veröffentlicht: 15. Mai 2026🔗 Source
Coldkey: Schlüsselgenerierung und Papier-Backup-Tool für das Post-Quantenzeitalter
Ad

Coldkey ist ein Kommandozeilen-Werkzeug zum Generieren von Post-Quanten-Alter-Verschlüsselungsschlüsseln und zur Erstellung von Papier-Backups. Es löst das Problem des Verlusts von Alte privaten Schlüsseln – die zum Entschlüsseln von mit age oder sops verschlüsselten Dateien notwendig sind – indem es druckbare HTML-Dokumente mit QR-Codes erstellt.

Installation

# Homebrew (macOS/Linux)
brew install --cask pike00/tap/coldkey

Oder mit Go

go install github.com/pike00/coldkey/cmd/coldkey@latest

Schnellstart mit Docker (empfohlen)

# Image ziehen
docker pull ghcr.io/pike00/coldkey:latest

Interaktiv – einen Schlüssel und ein Papier-Backup erstellen

just docker-run

Ein vorhandenes Backup erstellen

just docker-backup /.config/sops/age/keys.txt

Alle just docker-* Befehle enthalten Sicherheits-Härtungsflags: --network none, --read-only, --cap-drop ALL, --security-opt no-new-privileges:true. Die Ausgabe wird in ./output/ geschrieben.

Befehle

  • Interaktiver Modus (coldkey): Menü zum Generieren eines neuen Schlüssels oder zum Erstellen eines Backups von einem vorhandenen.
  • Generieren (coldkey generate [-o PFAD] [-f] [--no-backup]): Erzeugt ein neues Post-Quanten-Alter-Schlüsselpaar (ML-KEM-768 + X25519). Standardmäßig Ausgabe auf stdout, außer wenn -o angegeben.
  • Backup (coldkey backup [flags] SCHLÜSSELDATEI): Erstellt ein druckbares HTML-Papier-Backup aus einer vorhandenen Schlüsseldatei.
  • Version (coldkey version): Gibt die Versionszeichenkette aus.
Ad

Sicherheitsmodell

  • Speicher: Verwendet mlockall(MCL_CURRENT|MCL_FUTURE) um das Auslagern von Schlüsselmaterial auf die Festplatte zu verhindern.
  • Dateien: Werden mit Modus 0600 geschrieben, fsynced; temporäre Dateien werden vernichtet (3-fach-Überschreiben).
  • Prozess: Geheimnisse werden nur über stdin/Dateien übergeben, niemals in Prozessargumenten.
  • Container: Distroless/static:nonroot-Image ohne Shell, nicht-root UID 65534.
  • Speicher löschen: Best-Effort secure.Zero() auf Schlüssel-Puffern vor der GC.

QR-Code-Kodierung

Post-Quanten-Alter-Schlüssel speichern nur einen 32-Byte-Seed, daher ist keys.txt typischerweise ~2.089 Bytes groß – passend in einen einzelnen QR-Code (Version 40, EC-L unterstützt 2.953 Bytes). Für größere Dateien teilt coldkey sie in mehrere QR-Codes auf, die ein Rahmenprotokoll verwenden: COLDKEY:<Teil>/<Gesamt>:<Daten>. Wiederherstellung: Alle QR-Codes der Reihe nach scannen, Präfixe entfernen, verketten und SHA-256-Prüfsumme verifizieren.

Inhalt des Papier-Backups

Das generierte HTML enthält: Titel/Metadaten (Datum, Hostname, Benutzer, Quellpfad), rohen Schlüsseltext in Monospace, QR-Code(s) mit Kapazitätsangabe, SHA-256-Prüfsumme und Schritt-für-Schritt-Wiederherstellungsanleitung.

Wiederherstellungsverfahren

  1. QR-Code scannen oder rohen Schlüsseltext abtippen.
  2. In /.config/sops/age/keys.txt speichern.
  3. Überprüfen: sha256sum keys.txt muss mit der gedruckten Prüfsumme übereinstimmen.
  4. Test: sops -d <beliebige .sops-Datei>

Einschränkungen

Gos Garbage Collector kann Objekte im Speicher kopieren, und Go-Strings sind unveränderlich – Schlüsselmaterial, das als String (z.B. von identity.String()) gehalten wird, kann nicht sicher gelöscht werden. Coldkey führt Best-Effort-Löschung auf Byte-Puffern durch.

📖 Vollständige Quelle lesen: HN LLM Tools

Ad

👀 Siehe auch

OpenClaw-Benutzer teilt Strategie zum Ausgleich zwischen Agentenautonomie und Websicherheit
Sicherheit

OpenClaw-Benutzer teilt Strategie zum Ausgleich zwischen Agentenautonomie und Websicherheit

Ein OpenClaw-Benutzer beschreibt seine aktuelle Herausforderung: das Gleichgewicht zwischen Agentenautonomie und Sicherheit, insbesondere in Bezug auf Webzugriff und Prompt-Injection-Risiken. Er schlägt eine Lösung vor, die 'geringes Vertrauen' und 'hohes Vertrauen' in Agentensegmenten mit einer menschlichen Genehmigungsstufe verwendet.

OpenClawRadar
OpenClaw Sicherheit: Die gehärtete Basis, mit der Sie beginnen sollten
Sicherheit

OpenClaw Sicherheit: Die gehärtete Basis, mit der Sie beginnen sollten

Selbst gehostetes OpenClaw ist nicht automatisch sicher. Ein Reddit-Beitrag beschreibt die gehärtete Baseline-Konfiguration: nur lokales Gateway, DM-Isolation pro Peer, Verweigerung von Runtime/FS/Automation-Tool-Gruppen, Exec gesperrt und mention-gesteuerte Gruppen.

OpenClawRadar
Testen von unzensierten Qwen 3.5 35B-Modellen für Cybersicherheitsfragen
Sicherheit

Testen von unzensierten Qwen 3.5 35B-Modellen für Cybersicherheitsfragen

Ein Cybersicherheitsexperte testete drei unzensierte Qwen 3.5 35B-Modelle mit Fragen zu Hacking und Sicherheitsumgehungen und stellte erhebliche Unterschiede in der Antwortqualität im Vergleich zum ursprünglichen zensierten Modell fest. Die unzensierten Modelle lieferten konsequent Antworten, bei denen das Originalmodell entweder ablehnte oder unvollständige Antworten gab.

OpenClawRadar
McpVanguard: Open-Source-Sicherheitsproxy für MCP-basierte KI-Agenten
Sicherheit

McpVanguard: Open-Source-Sicherheitsproxy für MCP-basierte KI-Agenten

McpVanguard ist ein 3-Schichten-Sicherheitsproxy und eine Firewall, die zwischen KI-Agenten und MCP-Tools sitzt und Schutz vor Prompt-Injection, Path-Traversal und anderen Angriffen mit einer Latenz von etwa 16 ms bietet.

OpenClawRadar