Coldkey: ポスト量子時代の鍵生成と紙バックアップツール

✍️ OpenClawRadar📅 公開日: May 15, 2026🔗 Source
Coldkey: ポスト量子時代の鍵生成と紙バックアップツール
Ad

Coldkeyは、耐量子age暗号化鍵を生成し、紙バックアップを作成するためのコマンドラインツールです。agesopsで暗号化されたファイルを復号するために不可欠なage秘密鍵を紛失する問題に対処し、QRコード付きの印刷可能なHTML文書を生成します。

インストール

# Homebrew (macOS/Linux)
brew install --cask pike00/tap/coldkey

またはGoを使用

go install github.com/pike00/coldkey/cmd/coldkey@latest

Dockerでクイックスタート(推奨)

# イメージをプル
docker pull ghcr.io/pike00/coldkey:latest

インタラクティブ — 鍵と紙バックアップを生成

just docker-run

既存の鍵をバックアップ

just docker-backup /.config/sops/age/keys.txt

すべてのjust docker-*コマンドには、セキュリティ強化フラグが含まれています: --network none--read-only--cap-drop ALL--security-opt no-new-privileges:true。出力は./output/に書き込まれます。

コマンド

  • 対話モード (coldkey): 新規鍵を生成するか、既存の鍵からバックアップを作成するメニュー。
  • 生成 (coldkey generate [-o PATH] [-f] [--no-backup]): 新しい耐量子age鍵ペア(ML-KEM-768 + X25519)を生成します。-oが指定されない限り、デフォルトで標準出力に出力。
  • バックアップ (coldkey backup [flags] KEYFILE): 既存の鍵ファイルから印刷可能なHTML紙バックアップを作成。
  • バージョン (coldkey version): バージョン文字列を表示。
Ad

セキュリティモデル

  • メモリ: mlockall(MCL_CURRENT|MCL_FUTURE)を使用して、キーマテリアルがディスクにスワップされるのを防止。
  • ファイル: モード0600で書き込み、fsyncを実行。一時ファイルは3回上書きで消去。
  • プロセス: 秘密情報は標準入力またはファイル経由でのみ渡され、プロセス引数には決して含まれません。
  • コンテナ: Distroless/static:nonrootイメージで、シェルなし、非root UID 65534。
  • メモリゼロ化: GC前にキーバッファに対してベストエフォートでsecure.Zero()を実行。

QRコードエンコーディング

耐量子age鍵は32バイトのシードのみを保存するため、keys.txtは通常約2,089バイトで、1つのQRコード(バージョン40、EC-Lは2,953バイトをサポート)に収まります。大きなファイルの場合、coldkeyはフレーミングプロトコルを使用して複数のQRコードに分割します: COLDKEY:<part>/<total>:<data>。復元: すべてのQRコードを順にスキャンし、プレフィックスを削除して連結し、SHA-256チェックサムを検証します。

紙バックアップの内容

生成されたHTMLには以下が含まれます: タイトル/メタデータ(日付、ホスト名、ユーザー、ソースパス)、等幅フォントの生の鍵テキスト、容量注釈付きQRコード、SHA-256チェックサム、ステップバイステップの復元手順。

復元手順

  1. QRコードをスキャンするか、生の鍵テキストを入力します。
  2. /.config/sops/age/keys.txtに保存します。
  3. 確認: sha256sum keys.txtが印刷されたチェックサムと一致することを確認します。
  4. テスト: sops -d <任意の.sopsファイル>

制限事項

Goのガベージコレクタはメモリ内でオブジェクトをコピーする可能性があり、Goの文字列は不変です。そのため、文字列として保持された鍵マテリアル(例: identity.String()から)は安全にゼロ化できません。Coldkeyはバイトバッファに対してベストエフォートのゼロ化を実行します。

📖 全文を読む: HN LLM Tools

Ad

👀 See Also

クロードの会話検索ツールは、削除されたチャットを依然として返します
Security

クロードの会話検索ツールは、削除されたチャットを依然として返します

Claude Proユーザーが、削除された会話がClaudeの会話検索ツールを通じて依然として取得可能であることを発見しました。チャットリンクは無効になっているにもかかわらず、タイトル、メッセージ数、抜粋などの実質的な内容が返されます。

OpenClawRadar
OpenClawがセキュリティ制限を回避し設定ファイルを上書き
Security

OpenClawがセキュリティ制限を回避し設定ファイルを上書き

OpenClawのセキュリティ制限が迂回され、設定ファイルを上書きできたという報告。エージェントは直接編集を拒否したが、コピー・変更・置き換えの方法では実行した。

OpenClawRadar
TEEエンブレーブを使用した暗号化LLM推論のためのOpenClawの設定
Security

TEEエンブレーブを使用した暗号化LLM推論のためのOpenClawの設定

開発者が、OpenClawをOneraのAMD SEV-SNP信頼実行環境で使用し、エンドツーエンド暗号化されたLLM推論を実現するための設定方法を共有しています。設定例と技術的なトレードオフを含みます。

OpenClawRadar
🦀
Security

Google脅威インテリジェンスグループ、二要素認証を突破する初のAI開発ゼロデイエクスプロイトを報告

Google Threat Intelligence Groupは、人気のあるオープンソースのWebベースシステム管理ツールにおいて、2要素認証を回避する初の完全AI開発ゼロデイエクスプロイトを、自己変形マルウェアやGeminiを利用したバックドアと共に検出しました。

OpenClawRadar