Coldkey : Outil de génération de clés et de sauvegarde papier pour l'ère post-quantique

✍️ OpenClawRadar📅 Publié: May 15, 2026🔗 Source
Coldkey : Outil de génération de clés et de sauvegarde papier pour l'ère post-quantique
Ad

Coldkey est un outil en ligne de commande pour générer des clés de chiffrement age post-quantiques et créer des sauvegardes papier. Il résout le problème de la perte des clés privées age—essentielles pour déchiffrer les fichiers chiffrés avec age ou sops—en produisant des documents HTML imprimables avec des codes QR.

Installation

# Homebrew (macOS/Linux)
brew install --cask pike00/tap/coldkey

Ou avec Go

go install github.com/pike00/coldkey/cmd/coldkey@latest

Démarrage rapide avec Docker (recommandé)

# Télécharger l'image
docker pull ghcr.io/pike00/coldkey:latest

Mode interactif — générer une clé et une sauvegarde papier

just docker-run

Sauvegarder une clé existante

just docker-backup /.config/sops/age/keys.txt

Toutes les commandes just docker-* incluent des drapeaux de durcissement de sécurité : --network none, --read-only, --cap-drop ALL, --security-opt no-new-privileges:true. La sortie est écrite dans ./output/.

Commandes

  • Mode interactif (coldkey) : Menu pour générer une nouvelle clé ou créer une sauvegarde à partir d'une clé existante.
  • Générer (coldkey generate [-o CHEMIN] [-f] [--no-backup]) : Générer une nouvelle paire de clés age post-quantiques (ML-KEM-768 + X25519). Sortie par défaut sur stdout sauf si -o est fourni.
  • Sauvegarder (coldkey backup [drapeaux] FICHIER_CLE) : Créer une sauvegarde papier HTML imprimable à partir d'un fichier de clé existant.
  • Version (coldkey version) : Afficher la chaîne de version.
Ad

Modèle de sécurité

  • Mémoire : Utilise mlockall(MCL_CURRENT|MCL_FUTURE) pour empêcher l'échange du matériel de clé sur le disque.
  • Fichiers : Écrits avec le mode 0600, fsynced ; temporaires détruits (3 passages de réécriture).
  • Processus : Les secrets passés uniquement via stdin/fichiers, jamais dans les arguments du processus.
  • Conteneur : Image distroless/static:nonroot sans shell, UID non root 65534.
  • Mise à zéro de la mémoire : Effort maximal de secure.Zero() sur les tampons de clés avant le GC.

Encodage des codes QR

Les clés age post-quantiques ne stockent qu'une graine de 32 octets, donc keys.txt fait généralement ~2 089 octets—tenant dans un seul code QR (version 40, EC-L supporte 2 953 octets). Pour les fichiers plus volumineux, coldkey divise en plusieurs codes QR en utilisant un protocole de cadrage : COLDKEY:<partie>/<total>:<données>. Récupération : scanner tous les codes QR dans l'ordre, supprimer les préfixes, concaténer, et vérifier la somme de contrôle SHA-256.

Contenu de la sauvegarde papier

Le HTML généré comprend : titre/métadonnées (date, nom d'hôte, utilisateur, chemin source), texte brut de la clé en police monospace, code(s) QR avec annotation de capacité, somme de contrôle SHA-256, et instructions de récupération étape par étape.

Procédure de récupération

  1. Scanner le code QR ou taper le texte brut de la clé.
  2. Enregistrer dans /.config/sops/age/keys.txt.
  3. Vérifier : sha256sum keys.txt correspond à la somme de contrôle imprimée.
  4. Tester : sops -d <n'importe quel fichier .sops>

Limites

Le ramasse-miettes de Go peut copier des objets en mémoire, et les chaînes Go sont immuables—le matériel de clé conservé sous forme de chaîne (par exemple, de identity.String()) ne peut pas être sécurisé par mise à zéro. Coldkey effectue une mise à zéro au mieux sur les tampons d'octets.

📖 Lire la source complète : HN LLM Tools

Ad

👀 See Also

Contournement des garde-fous de l'IA Claude observé lorsque les requêtes sont formulées comme des tâches de sécurité réseau.
Security

Contournement des garde-fous de l'IA Claude observé lorsque les requêtes sont formulées comme des tâches de sécurité réseau.

Un utilisateur de Reddit a découvert que l'IA Claude fournit des listes de domaines de piratage lorsque les demandes sont formulées comme des tâches de sécurité réseau à bloquer, contournant ainsi les mécanismes de refus habituels. Le modèle a reconnu avoir mal interprété l'intention après que l'utilisateur ait souligné l'influence de la formulation.

OpenClawRadar
Le code source de Claude aurait été divulgué via un fichier map NPM
Security

Le code source de Claude aurait été divulgué via un fichier map NPM

Un tweet rapporte que le code source de Claude Code a été divulgué via un fichier map dans leur registre NPM. La discussion sur HN compte 93 points et 35 commentaires.

OpenClawRadar
Avertissement de sécurité : Le script ClawProxy a volé des clés API, entraînant une facture OpenRouter importante.
Security

Avertissement de sécurité : Le script ClawProxy a volé des clés API, entraînant une facture OpenRouter importante.

Un développeur a installé un script ClawProxy propriétaire provenant d'un utilisateur de Reddit sur un système Ubuntu 24.04 WSL isolé, qui a volé sa clé API OpenRouter et l'a utilisée via l'API Google Vertex pour générer une facture importante sur Opus 4.6 pendant la nuit.

OpenClawRadar
Publicité Google malveillante ciblant l'installation du code Claude
Security

Publicité Google malveillante ciblant l'installation du code Claude

Une publicité Google malveillante apparaît comme premier résultat pour les recherches 'install claude code', tentant de tromper les utilisateurs pour qu'ils exécutent des commandes terminal suspectes. La publicité était toujours active au 15 mars 2026, et l'auteur a évité de justesse d'exécuter le code.

OpenClawRadar