Coldkey: 양자 이후 시대 키 생성 및 종이 백업 도구

Coldkey는 포스트퀀텀 age 암호화 키를 생성하고 종이 백업을 만드는 CLI 도구입니다. age 또는 sops로 암호화된 파일을 복호화하는 데 필수적인 age 개인 키를 잃어버리는 문제를 해결하기 위해 QR 코드가 포함된 인쇄 가능한 HTML 문서를 생성합니다.
설치
# Homebrew (macOS/Linux)
brew install --cask pike00/tap/coldkey
또는 Go 사용
go install github.com/pike00/coldkey/cmd/coldkey@latest
Docker로 빠른 시작 (권장)
# 이미지 가져오기
docker pull ghcr.io/pike00/coldkey:latest
대화형 — 키 및 종이 백업 생성
just docker-run
기존 키 백업
just docker-backup /.config/sops/age/keys.txt
모든 just docker-* 명령에는 --network none, --read-only, --cap-drop ALL, --security-opt no-new-privileges:true와 같은 보안 강화 플래그가 포함됩니다. 출력은 ./output/에 작성됩니다.
명령어
- 대화형 모드 (
coldkey): 새 키를 생성하거나 기존 키로 백업을 생성하는 메뉴. - 생성 (
coldkey generate [-o PATH] [-f] [--no-backup]): 새 포스트퀀텀 age 키 쌍(ML-KEM-768 + X25519) 생성.-o가 제공되지 않으면 기본적으로 stdout에 출력. - 백업 (
coldkey backup [flags] KEYFILE): 기존 키 파일에서 인쇄 가능한 HTML 종이 백업 생성. - 버전 (
coldkey version): 버전 문자열 출력.
보안 모델
- 메모리:
mlockall(MCL_CURRENT|MCL_FUTURE)을 사용하여 키 자료가 디스크로 스왑되는 것을 방지. - 파일: 모드 0600으로 작성, fsync됨; 임시 파일은 3회 덮어쓰기로 파쇄.
- 프로세스: 비밀은 stdin/파일로만 전달되며, 프로세스 인수에는 절대 전달되지 않음.
- 컨테이너: 셸이 없는 Distroless/static:nonroot 이미지, 비루트 UID 65534.
- 메모리 제로화: 가비지 컬렉션 전에 키 버퍼에 대해
secure.Zero()를 최선의 방식으로 수행.
QR 코드 인코딩
포스트퀀텀 age 키는 32바이트 시드만 저장하므로 keys.txt는 일반적으로 약 2,089바이트이며, 단일 QR 코드(버전 40, EC-L은 2,953바이트 지원)에 들어갑니다. 더 큰 파일의 경우 coldkey는 프레이밍 프로토콜을 사용하여 여러 QR 코드로 분할합니다: COLDKEY:<part>/<total>:<data>. 복구: 모든 QR 코드를 순서대로 스캔하고 접두사를 제거한 후 연결하고 SHA-256 체크섬을 확인합니다.
종이 백업 내용
생성된 HTML에는 제목/메타데이터(날짜, 호스트명, 사용자, 소스 경로), 고정폭 글꼴의 원시 키 텍스트, 용량 주석이 있는 QR 코드, SHA-256 체크섬, 단계별 복구 지침이 포함됩니다.
복구 절차
- QR 코드를 스캔하거나 원시 키 텍스트를 입력합니다.
/.config/sops/age/keys.txt에 저장합니다.- 확인:
sha256sum keys.txt가 출력된 체크섬과 일치하는지 확인합니다. - 테스트:
sops -d <임의의 .sops 파일>
제한 사항
Go의 가비지 컬렉터는 메모리에서 객체를 복사할 수 있으며, Go 문자열은 불변입니다. 문자열로 키 자료를 보유하면(예: identity.String()에서) 안전하게 제로화할 수 없습니다. Coldkey는 바이트 버퍼에 대해 최선의 제로화를 수행합니다.
📖 전체 소스 읽기: HN LLM Tools
👀 See Also

AI 예산 보호: OpenClaw와 함께 선불 카드를 사용해야 하는 이유
커뮤니티에서 들려오는 경고 이야기: 한 사용자가 AI 어시스턴트가 '미쳐서' 구매를 시작하자 3,000달러를 잃었습니다. 자신을 보호하는 방법을 소개합니다.

Python과 Gemini Flash를 활용한 OpenClaw 명령어 보안 모니터링
한 Reddit 사용자가 OpenClaw의 명령어 실행을 추적하고 의심스러운 활동에 대해 경고하는 보안 모니터링 설정을 공유했습니다.

OpenClaw 보안 취약점: 2026.3.28에 패치된 치명적 프레임워크 결함
앤트 AI 보안 연구소가 OpenClaw의 핵심 프레임워크에서 33개의 취약점을 식별했으며, 그중 8개의 심각한 문제가 2026.3.28 릴리스에서 패치되었습니다. 취약점에는 샌드박스 우회, 권한 상승, 토큰 취소 후 세션 지속성, SSRF 위험 및 허용 목록 저하가 포함됩니다.

가짜 Claude 사이트가 사이드로딩 공격을 통해 PlugX 멀웨어를 유포합니다
가짜 Claude 웹사이트가 트로이 목마화된 설치 프로그램을 제공하여 DLL 사이드로딩을 통해 PlugX 악성코드를 배포하고, 공격자가 손상된 시스템에 원격으로 접근할 수 있게 합니다. 이 공격은 합법적으로 서명된 G DATA 안티바이러스 업데이터를 사용하여 악성 코드를 로드합니다.