Coldkey: Geração de Chaves na Era Pós-Quântica e Ferramenta de Backup em Papel

Coldkey é uma ferramenta de linha de comando para gerar chaves de criptografia age pós-quânticas e criar backups em papel. Ela resolve o problema de perder chaves privadas age—essenciais para descriptografar arquivos criptografados com age ou sops—produzindo documentos HTML para impressão com códigos QR.
Instalação
# Homebrew (macOS/Linux)
brew install --cask pike00/tap/coldkey
Ou com Go
go install github.com/pike00/coldkey/cmd/coldkey@latest
Início Rápido com Docker (recomendado)
# Baixar a imagem
docker pull ghcr.io/pike00/coldkey:latest
Interativo — gerar uma chave e backup em papel
just docker-run
Fazer backup de uma chave existente
just docker-backup /.config/sops/age/keys.txt
Todos os comandos just docker-* incluem flags de hardening de segurança: --network none, --read-only, --cap-drop ALL, --security-opt no-new-privileges:true. A saída é escrita em ./output/.
Comandos
- Modo interativo (
coldkey): Menu para gerar uma nova chave ou criar um backup a partir de uma existente. - Gerar (
coldkey generate [-o CAMINHO] [-f] [--no-backup]): Gera um novo par de chaves age pós-quânticas (ML-KEM-768 + X25519). Saída padrão para stdout a menos que-oseja fornecido. - Backup (
coldkey backup [flags] ARQUIVO_CHAVE): Cria um backup em papel HTML para impressão a partir de um arquivo de chave existente. - Versão (
coldkey version): Exibe a string de versão.
Modelo de Segurança
- Memória: Usa
mlockall(MCL_CURRENT|MCL_FUTURE)para evitar que o material da chave seja trocado para o disco. - Arquivos: Escritos com modo 0600, sincronizados via fsync; temporários destruídos (sobrescrita de 3 passagens).
- Processo: Segredos passados apenas via stdin/arquivos, nunca em argumentos de processo.
- Container: Imagem distroless/static:nonroot sem shell, UID não root 65534.
- Zeragem de memória:
secure.Zero()de melhor esforço em buffers de chave antes do GC.
Codificação de Código QR
Chaves age pós-quânticas armazenam apenas uma semente de 32 bytes, então keys.txt normalmente tem ~2.089 bytes—cabendo em um único código QR (versão 40, EC-L suporta 2.953 bytes). Para arquivos maiores, coldkey divide em múltiplos códigos QR usando um protocolo de enquadramento: COLDKEY:<parte>/<total>:<dados>. Recuperação: escaneie todos os QR codes em ordem, remova os prefixos, concatene e verifique o checksum SHA-256.
Conteúdo do Backup em Papel
O HTML gerado inclui: título/metadados (data, hostname, usuário, caminho de origem), texto da chave em monoespaçado, código(s) QR com anotação de capacidade, checksum SHA-256 e instruções de recuperação passo a passo.
Procedimento de Recuperação
- Escaneie o código QR ou digite o texto da chave.
- Salve em
/.config/sops/age/keys.txt. - Verifique:
sha256sum keys.txtcorresponde ao checksum impresso. - Teste:
sops -d <qualquer arquivo .sops>
Limitações
O garbage collector do Go pode copiar objetos na memória, e as strings em Go são imutáveis—material da chave mantido como string (ex.: de identity.String()) não pode ser zerado de forma segura. Coldkey realiza zeragem de melhor esforço em buffers de bytes.
📖 Leia a fonte completa: HN LLM Tools
👀 See Also

Claude Code Identifica Backdoor de Malware em Repositório GitHub Durante Auditoria Técnica
Um desenvolvedor usou o Claude Code para auditar um repositório do GitHub antes da execução e descobriu uma backdoor de execução remota de código em src/server/routes/auth.js que teria comprometido sua máquina. O prompt solicitou uma auditoria de due diligence técnica verificando a completude do projeto, camada de IA/ML, banco de dados, autenticação, serviços de backend, frontend, qualidade do código e estimativa de esforço.

Preocupações com a Privacidade no OpenClaw: Habilidades, SOUL MD e Comunicação de Agentes
Um desenvolvedor levanta preocupações sobre privacidade na arquitetura do OpenClaw, especificamente sobre habilidades terem acesso irrestrito a dados sensíveis, o SOUL MD ser gravável e agentes compartilharem informações sem filtros.

13 palavras no Reddit podem manipular a busca de IA: Pesquisa de Cornell
A pesquisa da Cornell mostra que um trecho de 13 palavras no Reddit ou Wikipedia pode envenenar agentes de busca de IA. Metade de todas as citações de IA vêm de sites UGC, tornando trivial para marcas injetarem conteúdo promocional.

O SDK de Acesso do Agente Bitwarden integra-se ao OneCLI para injeção segura de credenciais.
O novo Agent Access SDK do Bitwarden permite que agentes de IA acessem credenciais do cofre do Bitwarden com aprovação humana, enquanto o OneCLI atua como um gateway que injeta credenciais na camada de rede sem expor os valores brutos aos agentes.