Coldkey: Công cụ tạo khóa hậu lượng tử và sao lưu giấy an toàn

Trong thế giới bảo mật dữ liệu, việc mất khóa riêng tư (private key) là thảm họa không thể cứu vãn. Nếu bạn sử dụng các công cụ mã hóa hiện đại như age hoặc sops, việc ổ cứng bị hỏng có thể đồng nghĩa với việc mất quyền truy cập vĩnh viễn vào mọi bí mật được bảo vệ bởi khóa đó.

Trạng thái CI của dự án

Coldkey ra đời như một giải pháp phòng ngừa rủi ro này. Đây là công cụ dòng lệnh chuyên dụng giúp tạo các cặp khóa mã hóa hậu lượng tử (post-quantum) và tạo ra các bản sao lưu giấy an toàn dưới dạng HTML có chứa mã QR.

Tại sao cần Coldkey?

Khác với các phương pháp lưu trữ kỹ thuật số truyền thống, Coldkey tập trung vào khả năng phục hồi khi mọi thiết bị số đều bị lỗi. Công cụ này sử dụng thuật toán ML-KEM-768 kết hợp với X25519 để tạo ra các khóa có khả năng chống lại các cuộc tấn công từ máy tính lượng tử trong tương lai.

Phiên bản Go và License

Sau khi tạo khóa, Coldkey sẽ xuất ra một file HTML đơn trang có thể in ấn. File này chứa mã QR của khóa, văn bản gốc để nhập thủ công và mã kiểm tra tổng (checksum) SHA-256. Người dùng chỉ cần in tài liệu này, dán màng bảo vệ và cất giữ trong két sắt chống cháy để đảm bảo bí mật luôn được bảo toàn.

Cách cài đặt và sử dụng

Coldkey hỗ trợ nhiều phương thức cài đặt linh hoạt trên macOS và Linux:

• Homebrew: brew install --cask pike00/tap/coldkey
• Go: go install github.com/pike00/coldkey/cmd/coldkey@latest
• Docker: Khuyến nghị sử dụng Docker để tăng cường tính cô lập và an toàn.

License MIT

Để tạo khóa mới và bản sao lưu giấy, bạn có thể chạy lệnh: coldkey generate -o ~/.config/sops/age/keys.txt

Nếu đã có khóa và muốn tạo bản sao lưu giấy, hãy dùng: coldkey backup ~/.config/sops/age/keys.txt

Mô hình bảo mật đa lớp

Coldkey được thiết kế với nguyên tắc "an toàn mặc định" (security by default). Dự án áp dụng nhiều lớp bảo vệ nghiêm ngặt:

• Bộ nhớ: Sử dụng mlockall để ngăn chặn dữ liệu khóa bị swap ra ổ cứng.
• Quy trình: Các bí mật chỉ được truyền qua stdin hoặc file, không bao giờ xuất hiện trong tham số dòng lệnh.
• Container (Docker): Sử dụng cờ --network none, --read-only và loại bỏ tất cả các quyền (capabilities) không cần thiết để cô lập hoàn toàn môi trường chạy.
• Xóa dữ liệu: Thực hiện ghi đè 3 lần (shredding) lên các file tạm và cố gắng xóa bộ nhớ bằng secure.Zero() trước khi bộ thu gom rác (Garbage Collector) hoạt động.

Xử lý mã QR thông minh

Vì khóa ML-KEM có kích thước khá lớn, Coldkey sử dụng một giao thức khung đơn giản để chia nhỏ dữ liệu nếu kích thước vượt quá khả năng chứa của một mã QR duy nhất. Khi phục hồi, người dùng chỉ cần quét các mã QR theo thứ tự, công cụ sẽ tự động ghép nối và xác minh tính toàn vẹn của dữ liệu thông qua checksum.

Đối với các nhà phát triển và quản trị hệ thống coi trọng tính an toàn và khả năng phục hồi thảm họa, Coldkey là một công cụ bổ trợ thiết yếu cho quy trình bảo mật của họ.