Coldkey: 양자 이후 시대 키 생성 및 종이 백업 도구

✍️ OpenClawRadar📅 게시일: May 15, 2026🔗 Source
Coldkey: 양자 이후 시대 키 생성 및 종이 백업 도구
Ad

Coldkey는 포스트퀀텀 age 암호화 키를 생성하고 종이 백업을 만드는 CLI 도구입니다. age 또는 sops로 암호화된 파일을 복호화하는 데 필수적인 age 개인 키를 잃어버리는 문제를 해결하기 위해 QR 코드가 포함된 인쇄 가능한 HTML 문서를 생성합니다.

설치

# Homebrew (macOS/Linux)
brew install --cask pike00/tap/coldkey

또는 Go 사용

go install github.com/pike00/coldkey/cmd/coldkey@latest

Docker로 빠른 시작 (권장)

# 이미지 가져오기
docker pull ghcr.io/pike00/coldkey:latest

대화형 — 키 및 종이 백업 생성

just docker-run

기존 키 백업

just docker-backup /.config/sops/age/keys.txt

모든 just docker-* 명령에는 --network none, --read-only, --cap-drop ALL, --security-opt no-new-privileges:true와 같은 보안 강화 플래그가 포함됩니다. 출력은 ./output/에 작성됩니다.

명령어

  • 대화형 모드 (coldkey): 새 키를 생성하거나 기존 키로 백업을 생성하는 메뉴.
  • 생성 (coldkey generate [-o PATH] [-f] [--no-backup]): 새 포스트퀀텀 age 키 쌍(ML-KEM-768 + X25519) 생성. -o가 제공되지 않으면 기본적으로 stdout에 출력.
  • 백업 (coldkey backup [flags] KEYFILE): 기존 키 파일에서 인쇄 가능한 HTML 종이 백업 생성.
  • 버전 (coldkey version): 버전 문자열 출력.
Ad

보안 모델

  • 메모리: mlockall(MCL_CURRENT|MCL_FUTURE)을 사용하여 키 자료가 디스크로 스왑되는 것을 방지.
  • 파일: 모드 0600으로 작성, fsync됨; 임시 파일은 3회 덮어쓰기로 파쇄.
  • 프로세스: 비밀은 stdin/파일로만 전달되며, 프로세스 인수에는 절대 전달되지 않음.
  • 컨테이너: 셸이 없는 Distroless/static:nonroot 이미지, 비루트 UID 65534.
  • 메모리 제로화: 가비지 컬렉션 전에 키 버퍼에 대해 secure.Zero()를 최선의 방식으로 수행.

QR 코드 인코딩

포스트퀀텀 age 키는 32바이트 시드만 저장하므로 keys.txt는 일반적으로 약 2,089바이트이며, 단일 QR 코드(버전 40, EC-L은 2,953바이트 지원)에 들어갑니다. 더 큰 파일의 경우 coldkey는 프레이밍 프로토콜을 사용하여 여러 QR 코드로 분할합니다: COLDKEY:<part>/<total>:<data>. 복구: 모든 QR 코드를 순서대로 스캔하고 접두사를 제거한 후 연결하고 SHA-256 체크섬을 확인합니다.

종이 백업 내용

생성된 HTML에는 제목/메타데이터(날짜, 호스트명, 사용자, 소스 경로), 고정폭 글꼴의 원시 키 텍스트, 용량 주석이 있는 QR 코드, SHA-256 체크섬, 단계별 복구 지침이 포함됩니다.

복구 절차

  1. QR 코드를 스캔하거나 원시 키 텍스트를 입력합니다.
  2. /.config/sops/age/keys.txt에 저장합니다.
  3. 확인: sha256sum keys.txt가 출력된 체크섬과 일치하는지 확인합니다.
  4. 테스트: sops -d <임의의 .sops 파일>

제한 사항

Go의 가비지 컬렉터는 메모리에서 객체를 복사할 수 있으며, Go 문자열은 불변입니다. 문자열로 키 자료를 보유하면(예: identity.String()에서) 안전하게 제로화할 수 없습니다. Coldkey는 바이트 버퍼에 대해 최선의 제로화를 수행합니다.

📖 전체 소스 읽기: HN LLM Tools

Ad

👀 See Also

AI 예산 보호: OpenClaw와 함께 선불 카드를 사용해야 하는 이유
Security

AI 예산 보호: OpenClaw와 함께 선불 카드를 사용해야 하는 이유

커뮤니티에서 들려오는 경고 이야기: 한 사용자가 AI 어시스턴트가 '미쳐서' 구매를 시작하자 3,000달러를 잃었습니다. 자신을 보호하는 방법을 소개합니다.

r/moltbot community
Python과 Gemini Flash를 활용한 OpenClaw 명령어 보안 모니터링
Security

Python과 Gemini Flash를 활용한 OpenClaw 명령어 보안 모니터링

한 Reddit 사용자가 OpenClaw의 명령어 실행을 추적하고 의심스러운 활동에 대해 경고하는 보안 모니터링 설정을 공유했습니다.

OpenClawRadar
OpenClaw 보안 취약점: 2026.3.28에 패치된 치명적 프레임워크 결함
Security

OpenClaw 보안 취약점: 2026.3.28에 패치된 치명적 프레임워크 결함

앤트 AI 보안 연구소가 OpenClaw의 핵심 프레임워크에서 33개의 취약점을 식별했으며, 그중 8개의 심각한 문제가 2026.3.28 릴리스에서 패치되었습니다. 취약점에는 샌드박스 우회, 권한 상승, 토큰 취소 후 세션 지속성, SSRF 위험 및 허용 목록 저하가 포함됩니다.

OpenClawRadar
가짜 Claude 사이트가 사이드로딩 공격을 통해 PlugX 멀웨어를 유포합니다
Security

가짜 Claude 사이트가 사이드로딩 공격을 통해 PlugX 멀웨어를 유포합니다

가짜 Claude 웹사이트가 트로이 목마화된 설치 프로그램을 제공하여 DLL 사이드로딩을 통해 PlugX 악성코드를 배포하고, 공격자가 손상된 시스템에 원격으로 접근할 수 있게 합니다. 이 공격은 합법적으로 서명된 G DATA 안티바이러스 업데이터를 사용하여 악성 코드를 로드합니다.

OpenClawRadar