AxKeyStore: Sichere Geheimnisverwaltung mit GitHub-Backend

Was ist AxKeyStore?

AxKeyStore ist ein robustes Open-Source-Befehlszeilenwerkzeug (CLI), das für Entwickler und sicherheitsbewusste Benutzer entwickelt wurde, die eine zuverlässige Methode zur Speicherung und Verwaltung sensibler Anmeldeinformationen, Schlüssel und Passwörter benötigen. Seine Kerninnovation liegt in der Nutzung Ihres bestehenden privaten GitHub-Repositorys als Backend-Speichermechanismus. Dieser Ansatz bietet die Vorteile der Cloud-Speicherung – Zugänglichkeit, Versionskontrolle und Zuverlässigkeit –, ohne die Sicherheit zu beeinträchtigen, da GitHub streng als nicht vertrauenswürdig behandelt wird.

Entscheidend ist, dass AxKeyStore nach dem Prinzip der absoluten Client-seitigen Verschlüsselung arbeitet. Jedes sensible Datum, einschließlich der Geheimnisse selbst und der Schlüssel zu deren Verschlüsselung, wird vollständig auf Ihrem lokalen Rechner verarbeitet, bevor es übertragen wird. Folglich gelangen niemals Klartext-Geheimnisse, Master-Schlüssel oder Passwörter unverschlüsselt über das Netzwerk oder in den Remote-Server oder das lokale Dateisystem. Diese Zero-Trust-Architektur stellt sicher, dass nur Sie, der im Besitz des korrekten Master-Passworts ist, auf Ihre Tresordaten zugreifen und diese entschlüsseln können.

Hauptmerkmale

• Zero-Trust-Architektur: Basiert auf dem Prinzip, dass alle externen Systeme, einschließlich GitHub, nicht vertrauenswürdig sind. Die Verschlüsselung ist obligatorisch und mehrschichtig.
• Drei-Schichten-Verschlüsselungsschema:
  • Geheimnisverschlüsselung: Geheimnisse werden mit dem Remote Master Key (RMK) verschlüsselt.
  • RMK-Verschlüsselung: Der RMK wird mit Ihrem Master-Passwort verschlüsselt (mittels Client-seitiger Verschlüsselung).
  • Lokale Anmeldeinformationsverschlüsselung: Lokale Konfigurationsdetails (wie das GitHub-Token und der Repo-Name) werden mit einem Local Master Key (LMK) gesichert, der ebenfalls durch Ihr Master-Passwort geschützt wird.
• Fortschrittliche Kryptographie: Verwendet moderne, sichere Algorithmen, einschließlich XChaCha20-Poly1305 für authentifizierte Verschlüsselung und Argon2id für robuste Schlüsselableitung aus Ihrem Master-Passwort.
• GitHub als Backend-Speicher: Nutzt den kostenlosen, versionierten und zuverlässigen Speicher, der von jedem privaten GitHub-Repository bereitgestellt wird, das Sie kontrollieren.
• Multi-Profil-Unterstützung: Verwalten Sie problemlos mehrere unterschiedliche Tresore, jeder mit eigenen Anmeldedaten, Master-Passwörtern und zugehörigen GitHub-Repositories.
• Hierarchische Organisation: Geheimnisse können mithilfe von Kategoriepfaden logisch organisiert werden (z. B. api/production/internal), was die Auffindbarkeit und Verwaltung verbessert.
• Vereinheitlichte Authentifizierung: Sichere Authentifizierung über GitHub Apps und den Device Flow-Mechanismus.

Verwendung von AxKeyStore

Der Einstieg in AxKeyStore umfasst eine unkomplizierte Installation, gefolgt von einem anfänglichen Anmelde- und Einrichtungsprozess. Das Tool ist nach der Konfiguration auf einfache Bedienung ausgelegt.

1. Installation: Installieren Sie das CLI-Tool mit den bereitgestellten plattformspezifischen Skripten:

• macOS/Linux: curl -sSL https://raw.githubusercontent.com/basilgregory/axkeystore/main/install.sh | bash
• Windows (PowerShell): powershell -c "irm https://raw.githubusercontent.com/basilgregory/axkeystore/main/install.ps1 | iex" Diese Skripte platzieren die Binärdatei automatisch in Ihrem PATH zur sofortigen Nutzung.

2. Erste Anmeldung und Einrichtung: Führen Sie den Anmeldebefehl aus, um die Einrichtung einzuleiten: axkeystore login Bei dieser ersten Ausführung werden Sie aufgefordert, Ihr Master-Passwort zu erstellen und zu bestätigen. Dieses Passwort ist der ultimative Schlüssel zur Entschlüsselung Ihres Tresors und zur Sicherung Ihrer lokalen Konfiguration. Nach der Passworteinrichtung führt Sie die CLI durch die Installation der erforderlichen GitHub Application in Ihrem Konto oder Ihrer Organisation, wodurch AxKeyStore die notwendigen Berechtigungen zum Lesen/Schreiben in Ihr vorgesehenes privates Repository erhält.

3. Geheimnisse verwalten: Nach der Anmeldung und Konfiguration können Sie einfache Befehle verwenden, um Anmeldeinformationen zu speichern und abzurufen. Das Speichern eines neuen Geheimnisses könnte beispielsweise die Angabe der Kategorie und des Schlüsselnamens erfordern, während der Abruf den entsprechenden Befehl verwendet, um sicherzustellen, dass die Daten erst lokal entschlüsselt werden, nachdem der verschlüsselte Blob von GitHub abgerufen wurde.

Anwendungsfälle

1. Sicherung von CI/CD-Pipeline-Geheimnissen: Entwickler können sensible API-Schlüssel, Bereitstellungstoken und Umgebungsvariablen, die für automatisierte Builds und Bereitstellungen erforderlich sind, in ihrem privaten AxKeyStore-Tresor speichern, um sicherzustellen, dass diese Geheimnisse niemals hartcodiert oder in der Versionskontrolle eingecheckten Konfigurationsdateien offengelegt werden.
2. Verwaltung persönlicher Entwickleranmeldeinformationen: Einzelne Entwickler können alle ihre SSH-Schlüssel, Cloud-Anbieter-Zugriffsschlüssel (AWS, Azure, GCP) und Datenbankpasswörter zentralisieren. Durch die Verwendung ihres GitHub-Repos erhalten sie eine Versionshistorie für Ereignisse der Schlüsselrotation.
3. Plattformübergreifende Entwicklungsumgebungen: Da der Speicher Cloud-basiert (GitHub) ist und das Tool CLI-gesteuert ist, können Benutzer nahtlos zwischen ihrem lokalen Rechner, einem Entwicklungsserver oder einer temporären Workstation wechseln und sicher auf ihre erforderlichen Geheimnisse zugreifen, nachdem sie die anfängliche Anmeldung/Einrichtung durchgeführt haben.
4. Gesteuerte Weitergabe von Anmeldeinformationen in kleinen Teams: Obwohl primär für die individuelle Sicherheit konzipiert, können Teams ein gemeinsames, dediziertes privates Repository für die grundlegende Weitergabe von Nicht-Produktionsanmeldeinformationen nutzen, wobei sie sich auf das gemeinsame Wissen über das Master-Passwort verlassen (obwohl für maximale Sicherheit die individuelle Verwaltung empfohlen wird).

FAQ

F: Was passiert, wenn ich mein Master-Passwort vergesse? A: Da AxKeyStore ein robustes, client-seitiges, mehrschichtiges Verschlüsselungsschema verwendet, das durch Ihr Master-Passwort gesichert wird, bedeutet das Vergessen, dass die Daten dauerhaft unzugänglich sind. Es gibt keinen Wiederherstellungsmechanismus, was strikt dem Zero-Trust-Sicherheitsmodell entspricht.

F: Sind meine Daten wirklich sicher, wenn GitHub der Speicherort ist? A: Ja. GitHub speichert nur verschlüsselte Binär-Blobs. Selbst wenn GitHub kompromittiert würde, würden Angreifer nur verschlüsselte Daten erhalten, da die Entschlüsselungsschlüssel (RMK und LMK) durch Ihr Master-Passwort geschützt sind und niemals unverschlüsselt Ihren lokalen Rechner verlassen.

F: Kann ich ein öffentliches Repository zur Speicherung verwenden? A: Nein. AxKeyStore erfordert ausdrücklich ein privates GitHub-Repository. Die Verwendung eines öffentlichen Repositorys würde alle Ihre verschlüsselten Geheimnisse der Welt offenlegen und den Zweck der Sicherheitsarchitektur zunichtemachen.

F: Wie handhabt AxKeyStore Authentifizierung und Autorisierung? A: Es verwendet eine dedizierte GitHub Application, die Sie installieren müssen. Diese Anwendung ermöglicht eine sichere Authentifizierung über den Device Flow und gewährt der CLI die notwendigen Berechtigungen (Lesen/Schreiben) nur für das spezifische Repository, das als Ihr Tresor festgelegt ist.

F: Kostet dieses Tool Geld? A: AxKeyStore ist ein Open-Source-Projekt, das unter der MIT-Lizenz veröffentlicht wurde. Das Tool selbst ist kostenlos nutzbar. Die Nutzung von GitHub als Speicher erfordert jedoch, dass Sie ein GitHub-Konto besitzen, das kostenlose private Repositories anbietet.