Pares de claves y firma
kovra puede custodiar un par de claves asimétricas: genera la clave, sella la mitad privada bajo la clave maestra del vault y nunca escribe la clave privada en disco ni la imprime. Operas a través de kovra — firmando, verificando, cifrando, descifrando — sin que la clave privada abandone jamás el vault.
Generar un par de claves
Sección titulada «Generar un par de claves»kovra keygen crea la clave y muestra solo la mitad pública. Elige
ed25519 (firma y cifrado) o rsa (firma/SSH únicamente):
~ % kovra keygen secret:dev/ssh/deploy --type ed25519Generated dev/ssh/deploy (ed25519, Medium).ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIDnM/+Nl+/2Y/uEZNK5Q7ZEdQEMmOGXB6PTQg2hWJaSwWindows — próximamente. El mismo modelo en Windows Hello + Credential Manager.
La entrada aparece en el listado con un modo tipado de keypair:ed25519. Puedes
reimprimir la clave pública en cualquier momento — esto es gratuito y nunca solicita
confirmación:
~ % kovra pubkey secret:dev/ssh/deployssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIDnM/+Nl+/2Y/uEZNK5Q7ZEdQEMmOGXB6PTQg2hWJaSwWindows — próximamente. El mismo modelo en Windows Hello + Credential Manager.
Firmar y verificar
Sección titulada «Firmar y verificar»kovra sign firma datos desde un archivo o stdin; la firma va a stdout.
kovra verify la comprueba. Firmar con una clave high/prod te pide
bioProve; verificar es
siempre gratuito:
~ % printf 'release v1.2.3' | kovra sign secret:dev/ssh/deploy > sig.binWindows — próximamente. El mismo modelo en Windows Hello + Credential Manager.
~ % printf 'release v1.2.3' | kovra verify secret:dev/ssh/deploy --signature sig.binOK: signature is validWindows — próximamente. El mismo modelo en Windows Hello + Credential Manager.
La verificación también funciona contra una entrada solo de clave pública — la
clave pública de un par, almacenada con kovra add --public-key (no tiene mitad
privada), por lo que puedes verificar las firmas de un compañero sin su clave
privada.
Cifrar y descifrar
Sección titulada «Cifrar y descifrar»Para un par de claves ed25519, kovra también puede cifrar hacia la clave
pública y descifrar con la clave privada (un sealed box basado en age). Cifrar
es gratuito; descifrar con una clave high/prod te pide
bioProve:
~ % printf 'a short secret note' | kovra encrypt secret:dev/ssh/deploy > ct.binWindows — próximamente. El mismo modelo en Windows Hello + Credential Manager.
~ % kovra decrypt secret:dev/ssh/deploy ct.bina short secret noteWindows — próximamente. El mismo modelo en Windows Hello + Credential Manager.
Los pares de claves RSA firman y verifican (y funcionan como claves SSH) pero no
admiten cifrado — usa ed25519 cuando necesites sellado.
Por qué esto importa
Sección titulada «Por qué esto importa»La clave privada se genera dentro del vault y nunca se materializa en disco ni en tu shell. Un agente o un script puede pedirle a kovra que use la clave — firmar una versión, abrir un mensaje sellado — pero no puede exfiltrarla, y cada uso de una clave sensible está controlado y auditado. Para cargar una clave en una sesión SSH, consulta el ssh-agent gobernado.