Coldkey: Herramienta de generación de claves y respaldo en papel para la era post-cuántica

✍️ OpenClawRadar📅 Publicado: 15 de mayo de 2026🔗 Source
Coldkey: Herramienta de generación de claves y respaldo en papel para la era post-cuántica
Ad

Coldkey es una herramienta de línea de comandos para generar claves de cifrado age post-cuánticas y crear copias de seguridad en papel. Soluciona el problema de perder las claves privadas de age (esenciales para descifrar archivos cifrados con age o sops) generando documentos HTML imprimibles con códigos QR.

Instalación

# Homebrew (macOS/Linux)
brew install --cask pike00/tap/coldkey

O con Go

go install github.com/pike00/coldkey/cmd/coldkey@latest

Inicio rápido con Docker (recomendado)

# Descargar la imagen
docker pull ghcr.io/pike00/coldkey:latest

Interactivo — generar una clave y copia de seguridad en papel

just docker-run

Hacer copia de seguridad de una clave existente

just docker-backup /.config/sops/age/keys.txt

Todos los comandos just docker-* incluyen banderas de refuerzo de seguridad: --network none, --read-only, --cap-drop ALL, --security-opt no-new-privileges:true. La salida se escribe en ./output/.

Comandos

  • Modo interactivo (coldkey): Menú para generar una nueva clave o crear una copia de seguridad a partir de una existente.
  • Generar (coldkey generate [-o RUTA] [-f] [--no-backup]): Genera un nuevo par de claves age post-cuánticas (ML-KEM-768 + X25519). La salida predeterminada es stdout a menos que se proporcione -o.
  • Copia de seguridad (coldkey backup [flags] ARCHIVOCLAVE): Crea una copia de seguridad HTML imprimible a partir de un archivo de clave existente.
  • Versión (coldkey version): Imprime la cadena de versión.
Ad

Modelo de seguridad

  • Memoria: Usa mlockall(MCL_CURRENT|MCL_FUTURE) para evitar que el material de la clave se intercambie al disco.
  • Archivos: Se escriben con modo 0600, fsynced; los temporales se destruyen (sobrescritura de 3 pasadas).
  • Proceso: Los secretos se pasan solo a través de stdin/archivos, nunca en argumentos de proceso.
  • Contenedor: Imagen distroless/static:nonroot sin shell, UID no root 65534.
  • Puesta a cero de memoria: secure.Zero() de mejor esfuerzo en los buffers de clave antes del GC.

Codificación de código QR

Las claves age post-cuánticas almacenan solo una semilla de 32 bytes, por lo que keys.txt suele tener ~2,089 bytes, cabiendo en un solo código QR (versión 40, EC-L admite 2,953 bytes). Para archivos más grandes, coldkey divide en múltiples códigos QR usando un protocolo de encuadre: COLDKEY:<parte>/<total>:<datos>. Recuperación: escanear todos los códigos QR en orden, eliminar prefijos, concatenar y verificar la suma de comprobación SHA-256.

Contenido de la copia de seguridad en papel

El HTML generado incluye: título/metadatos (fecha, nombre de host, usuario, ruta de origen), texto de clave sin formato en monoespacio, código(s) QR con anotación de capacidad, suma de comprobación SHA-256 e instrucciones de recuperación paso a paso.

Procedimiento de recuperación

  1. Escanee el código QR o escriba el texto de la clave sin formato.
  2. Guarde en /.config/sops/age/keys.txt.
  3. Verifique: sha256sum keys.txt coincide con la suma de comprobación impresa.
  4. Pruebe: sops -d <cualquier archivo .sops>

Limitaciones

El recolector de basura de Go puede copiar objetos en memoria, y las cadenas de Go son inmutables: el material de clave mantenido como cadena (por ejemplo, de identity.String()) no se puede poner a cero de forma segura. Coldkey realiza un esfuerzo de puesta a cero en los buffers de bytes.

📖 Lea la fuente completa: HN LLM Tools

Ad

👀 Ver también

Tres Vectores de Ataque Basados en Correo Electrónico Contra Agentes de IA que Leen Correos
Seguridad

Tres Vectores de Ataque Basados en Correo Electrónico Contra Agentes de IA que Leen Correos

Una publicación de Reddit detalla tres métodos específicos que los atacantes pueden usar para secuestrar agentes de IA que procesan correos electrónicos: Anulación de Instrucciones, Exfiltración de Datos y Contrabando de Tokens. Estos métodos explotan la incapacidad del agente para distinguir instrucciones legítimas de instrucciones maliciosas incrustadas en el texto del correo.

OpenClawRadar
Auditoría de Seguridad Diaria Automatizada por IA para Tienda Operada por IA
Seguridad

Auditoría de Seguridad Diaria Automatizada por IA para Tienda Operada por IA

Una tienda operada por IA realiza una auditoría de seguridad diaria de forma autónoma sin programación humana ni trabajos cron. El agente de IA verifica vulnerabilidades SSRF, riesgos de inyección y brechas de autenticación, luego genera un informe para revisión del desarrollador senior.

OpenClawRadar
Monitoreo de Comandos de OpenClaw con Python y Gemini Flash para Seguridad
Seguridad

Monitoreo de Comandos de OpenClaw con Python y Gemini Flash para Seguridad

Un usuario creó un script en Python que rastrea los comandos inyectados por OpenClaw, los analiza con Gemini Flash y envía notificaciones a través de un webhook de Discord para actividades alarmantes o irregulares, con un costo de aproximadamente $0.14 diarios.

OpenClawRadar
Sitio de phishing para instalar Claude Code encabeza resultados de búsqueda de Google
Seguridad

Sitio de phishing para instalar Claude Code encabeza resultados de búsqueda de Google

Un sitio de phishing que se hace pasar por la página oficial de descarga de Claude Code aparece como el primer resultado de Google para "Claude code install mac". Se advierte a los usuarios que no descarguen del sitio falso.

OpenClawRadar