Ansible Vault krüpteerija/dekrüpteerija
Krüpteeri ja dekrüpteeri Ansible Vault saladusi otse brauseris, kasutades AES-256
Sisend
Väljund
Loe mind
Mis on Ansible Vault?
Ansible Vault on Ansibli sisseehitatud funktsioon, mis krüpteerib tundlikke andmeid nagu paroolid, API võtmed ja sertifikaadid, et neid saaks turvaliselt salvestada koos playbook'ide ja rollidega versioonihalduses. See kasutab AES-256 sümmeetrilist krüpteerimist PBKDF2 võtmete tuletamisega, mis tähendab, et krüpteerimiseks ja dekrüpteerimiseks kasutatakse ühte parooli. Vault-krüpteeritud sisu tuvastatakse $ANSIBLE_VAULT;1.1;AES256 päise järgi, millele järgneb kuueteistkümnendsüsteemis kodeeritud šifreeritud tekst.
Ansible Vault lahendab fundamentaalse DevOps väljakutse: kuidas hoida saladusi samas hoidlas kui infrastruktuuri koodi ilma neid avaldamata. Eraldi saladuste salvestite haldamise või keskkonna muutujatesse tuginemise asemel saavad meeskonnad krüpteeritud failid otse Git'i kinnitada ja need käitusajal playbook'i täitmise ajal dekrüpteerida.
Tööriista kirjeldus
See tööriist krüpteerib ja dekrüpteerib Ansible Vault sisu otse brauseris. Sisestage vault parool ja lihttekst, et saada täielikult ühilduv krüpteeritud vault plokk, või kleepige olemasolev vault plokk, et paljastada algne saladus. Ükski andmete ei lahku brauserist — kõik krüptograafilised toimingud käivitatakse kliendi poolel.
Näited
Lihtteksti krüpteerimine:
Sisend (lihttekst):
db_password: s3cur3P@ss!Väljund (krüpteeritud vault):
$ANSIBLE_VAULT;1.1;AES256
33383239333036363833303565653032383832663162356533343630623030613133623032636566
6536303436646561356461623866386133623462383832620a646363626137626635353462386430
34333937313366383038346135656563316236313139333933383139376333353266666436316536
6335376265313432610a313537363637383264646261303637646631346137393964386432313633
3666Vault sisu dekrüpteerimine:
Kleepige ülaltoodud krüpteeritud plokk õige parooliga, et taastada algne db_password: s3cur3P@ss! väärtus.
Funktsioonid
- AES-256 krüpteerimine, mis on täielikult ühilduv Ansible Vault 1.1 vorminguga
- Ainult kliendi poolel — andmeid ei saadeta ühelegi serverile
- Toetab nii krüpteerimist kui dekrüpteerimist ühe parooliväljaga
- Kiire teisendamine otsevaatega, kui tippite
- Töötab mitmerealiste saladuste, YAML fragmentide ja suvalise tekstiga
Kasutamise juhtumid
- Uue saladuse kiire krüpteerimine enne selle kinnitamist Ansible playbook'e sisaldavasse Git hoidlasse
- Vault sisu dekrüpteerimine ja kontrollimine silumise ajal ilma Ansibli kohalikult paigaldamata
- Krüpteeritud saladuste jagamine meeskonnakaaslastega, kes saavad neid brauseris dekrüpteerida jagatud vault parooliga
Kuidas see toimib
Ansible Vault 1.1 kasutab järgmist protsessi:
- Võtmete tuletamine — PBKDF2-HMAC-SHA256 tuletab 80-baidise võtme paroolist ja juhuslikust soolast (10 000 iteratsiooni). Võti jagatakse 32-baidiseks krüpteerimiseks, 32-baidiseks HMAC võtmeks ja 16-baidiseks IV-ks.
- Krüpteerimine — Lihttekst krüpeeritakse AES-256-CTR abil, kasutades tuletatud võtit ja IV-d.
- Autentimine — HMAC-SHA256 arvutatakse šifreeritud teksti üle, et tagada terviklikkus.
- Kodeerimine — Sool, HMAC kokkuvõte ja šifreeritud tekst kodeeritakse kuueteistkümnendsüsteemis ja kombineeritakse
$ANSIBLE_VAULT;1.1;AES256päise all.
Dekrüpteerimine pöördub protsessi: parool tuletab uuesti samad võtmed, kontrollib HMAC-i ja dekrüpteerib šifreeritud teksti.
Piirangud
- Toetab ainult Ansible Vault 1.1 vormingut AES-256 krüpteerimisega
- Ei toeta vault ID märgiseid mitme parooliga seadistuste jaoks
- Suured failid võivad põhjustada lühikesi UI viivitusi CPU-intensiivse võtmete tuletamise sammu tõttu