Coldkey: Herramienta de generación de claves y respaldo en papel para la era post-cuántica

Coldkey es una herramienta de línea de comandos para generar claves de cifrado age post-cuánticas y crear copias de seguridad en papel. Soluciona el problema de perder las claves privadas de age (esenciales para descifrar archivos cifrados con age o sops) generando documentos HTML imprimibles con códigos QR.
Instalación
# Homebrew (macOS/Linux)
brew install --cask pike00/tap/coldkey
O con Go
go install github.com/pike00/coldkey/cmd/coldkey@latest
Inicio rápido con Docker (recomendado)
# Descargar la imagen
docker pull ghcr.io/pike00/coldkey:latest
Interactivo — generar una clave y copia de seguridad en papel
just docker-run
Hacer copia de seguridad de una clave existente
just docker-backup /.config/sops/age/keys.txt
Todos los comandos just docker-* incluyen banderas de refuerzo de seguridad: --network none, --read-only, --cap-drop ALL, --security-opt no-new-privileges:true. La salida se escribe en ./output/.
Comandos
- Modo interactivo (
coldkey): Menú para generar una nueva clave o crear una copia de seguridad a partir de una existente. - Generar (
coldkey generate [-o RUTA] [-f] [--no-backup]): Genera un nuevo par de claves age post-cuánticas (ML-KEM-768 + X25519). La salida predeterminada es stdout a menos que se proporcione-o. - Copia de seguridad (
coldkey backup [flags] ARCHIVOCLAVE): Crea una copia de seguridad HTML imprimible a partir de un archivo de clave existente. - Versión (
coldkey version): Imprime la cadena de versión.
Modelo de seguridad
- Memoria: Usa
mlockall(MCL_CURRENT|MCL_FUTURE)para evitar que el material de la clave se intercambie al disco. - Archivos: Se escriben con modo 0600, fsynced; los temporales se destruyen (sobrescritura de 3 pasadas).
- Proceso: Los secretos se pasan solo a través de stdin/archivos, nunca en argumentos de proceso.
- Contenedor: Imagen distroless/static:nonroot sin shell, UID no root 65534.
- Puesta a cero de memoria:
secure.Zero()de mejor esfuerzo en los buffers de clave antes del GC.
Codificación de código QR
Las claves age post-cuánticas almacenan solo una semilla de 32 bytes, por lo que keys.txt suele tener ~2,089 bytes, cabiendo en un solo código QR (versión 40, EC-L admite 2,953 bytes). Para archivos más grandes, coldkey divide en múltiples códigos QR usando un protocolo de encuadre: COLDKEY:<parte>/<total>:<datos>. Recuperación: escanear todos los códigos QR en orden, eliminar prefijos, concatenar y verificar la suma de comprobación SHA-256.
Contenido de la copia de seguridad en papel
El HTML generado incluye: título/metadatos (fecha, nombre de host, usuario, ruta de origen), texto de clave sin formato en monoespacio, código(s) QR con anotación de capacidad, suma de comprobación SHA-256 e instrucciones de recuperación paso a paso.
Procedimiento de recuperación
- Escanee el código QR o escriba el texto de la clave sin formato.
- Guarde en
/.config/sops/age/keys.txt. - Verifique:
sha256sum keys.txtcoincide con la suma de comprobación impresa. - Pruebe:
sops -d <cualquier archivo .sops>
Limitaciones
El recolector de basura de Go puede copiar objetos en memoria, y las cadenas de Go son inmutables: el material de clave mantenido como cadena (por ejemplo, de identity.String()) no se puede poner a cero de forma segura. Coldkey realiza un esfuerzo de puesta a cero en los buffers de bytes.
📖 Lea la fuente completa: HN LLM Tools
👀 Ver también

Tres Vectores de Ataque Basados en Correo Electrónico Contra Agentes de IA que Leen Correos
Una publicación de Reddit detalla tres métodos específicos que los atacantes pueden usar para secuestrar agentes de IA que procesan correos electrónicos: Anulación de Instrucciones, Exfiltración de Datos y Contrabando de Tokens. Estos métodos explotan la incapacidad del agente para distinguir instrucciones legítimas de instrucciones maliciosas incrustadas en el texto del correo.

Auditoría de Seguridad Diaria Automatizada por IA para Tienda Operada por IA
Una tienda operada por IA realiza una auditoría de seguridad diaria de forma autónoma sin programación humana ni trabajos cron. El agente de IA verifica vulnerabilidades SSRF, riesgos de inyección y brechas de autenticación, luego genera un informe para revisión del desarrollador senior.

Monitoreo de Comandos de OpenClaw con Python y Gemini Flash para Seguridad
Un usuario creó un script en Python que rastrea los comandos inyectados por OpenClaw, los analiza con Gemini Flash y envía notificaciones a través de un webhook de Discord para actividades alarmantes o irregulares, con un costo de aproximadamente $0.14 diarios.

Sitio de phishing para instalar Claude Code encabeza resultados de búsqueda de Google
Un sitio de phishing que se hace pasar por la página oficial de descarga de Claude Code aparece como el primer resultado de Google para "Claude code install mac". Se advierte a los usuarios que no descarguen del sitio falso.