suporte a complementos e YubiKeys · FiloSottile / idade · GitHub

By | Junho 11, 2022

age é uma ferramenta simples, moderna e segura para criptografar arquivos, formato e bibliotecas Go. Ele contém pequenas chaves explícitas, sem opções de configuração e assembly no estilo UNIX. Saiba mais lendo README, idade (1) página de manuala Referência da API Goa especificação de formato, ou todo o log de alterações da edição. Assista ao repositório ou siga @FiloSottile no Twitter ser informado de novos lançamentos.

v1.1.0-rc.1 é o primeiro candidato para a versão v1.1.0. Os usuários são incentivados a testar a nova versão, especialmente os novos recursos listados abaixo. Relatórios de problemas ou UX antes da versão final são muito apreciados.

📃 Caso você tenha perdido: uma nova versão mais suave especificação de formato de idade foi publicado.

Suporte adicional

O CLI Age agora suporta plugins, como age-plugin-yubikey de @ str4d. Para testá-lo no macOS com o Homebrew:

$ brew install --HEAD age
$ brew install age-plugin-yubikey
$ age-plugin-yubikey # interactive setup
$ age -r age1yubikey1qwt50d05nh5vutpdzmlg5wn80xq5negm4uj9ghv0snvdd3yysf5yw3rhl3t
$ age -d -i age-yubikey-identity-388178f3.txt

Os complementos devem ser carregados explicitamente usando o destinatário ou a identidade apropriados e não estão vinculados a um tipo específico de sub-rotina de cabeçalho. Isso significa que os complementos podem ser usados ​​não apenas para oferecer suporte a novos tipos de destinatários, como tokens PIV (ou seja, YubiKeys) ou soluções em nuvem KMS, mas também para produzir arquivos criptografados criptografados que podem ser descriptografados sem complementos, para armazenar chaves privadas específicas em elementos seguros, ou mesmo para funcionalidade de agente ou para operações de descriptografia de proxy em máquinas remotas.

Os plugins funcionam através de um protocolo de texto simples stdin / stdout (C2SP / C2SP # 5). Os desenvolvedores são incentivados a recorrer a ideias e anúncios de complementos. Leia mais na seção relevante da página man.

Mudança de quebra de CLI

Se -i usados, os arquivos criptografados por senha agora são rejeitados. Anteriormente, um arquivo criptografado por senha era detectado automaticamente e um arquivo de identidade era ignorado. Isso pode levar a um comportamento inesperado, como bloquear o script de interação do usuário, com base em arquivos de entrada potencialmente não confiáveis. Agora, age -d deve ser chamado sem -i argumentos para descriptografar arquivos criptografados por senha. Caso contrário, um erro útil é impresso. Isso não deve quebrar nenhum sistema automatizado, pois a descriptografia de senha sempre foi interativa.

As peças finais vazias agora são rejeitadas. Se a carga útil fosse múltipla de 64KiB, havia duas criptografias válidas para ela: com uma parte traseira “completa” criptografando 64KiB ou com uma parte “vazia” adicional criptografando 0 bytes. idade, raiva e todas as outras implementações conhecidas só produziram a primeira. (Observe que a idade descriptografará para sempre os arquivos gerados.) Este último foi recusado. A especificação está sendo atualizada (C2SP / C2SP # 13) e os casos de teste serão submetidos.

Pequenas alterações

Se /dev/tty está presente mas não pode ser aberto, age agora retornará à tentativa de tratar stdin como um terminal como se /dev/tty ele não estava presente.

Os binários do Windows agora estão assinados.

A documentação e as mensagens de erro foram aprimoradas.

Deixe uma resposta

O seu endereço de email não será publicado.