Cifratore/Decifratore Ansible Vault
Cifra e decifra i segreti di Ansible Vault direttamente nel browser utilizzando AES-256
Input
Output
Leggimi
Cos'è Ansible Vault?
Ansible Vault è una funzionalità integrata di Ansible che crittografa dati sensibili come password, chiavi API e certificati in modo che possano essere archiviati in sicurezza insieme a playbook e ruoli nel controllo versione. Utilizza la crittografia simmetrica AES-256 con derivazione della chiave PBKDF2, il che significa che una singola password viene utilizzata sia per la crittografia che per la decrittografia. Il contenuto crittografato con Vault è identificato dall'intestazione $ANSIBLE_VAULT;1.1;AES256 seguita da testo cifrato codificato in esadecimale.
Ansible Vault risolve una sfida fondamentale di DevOps: come mantenere i segreti nello stesso repository del codice infrastrutturale senza esporli. Invece di gestire archivi di segreti separati o affidarsi a variabili di ambiente, i team possono eseguire il commit di file crittografati direttamente su Git e decifrarli in fase di esecuzione durante l'esecuzione del playbook.
Descrizione dello strumento
Questo strumento crittografa e decrittografa il contenuto di Ansible Vault direttamente nel browser. Inserisci una password vault e testo in chiaro per produrre un blob vault crittografato completamente compatibile, oppure incolla un blob vault esistente per rivelare il segreto originale. Nessun dato esce dal browser — tutte le operazioni crittografiche vengono eseguite lato client.
Esempi
Crittografia di testo in chiaro:
Input (testo in chiaro):
db_password: s3cur3P@ss!Output (vault crittografato):
$ANSIBLE_VAULT;1.1;AES256
33383239333036363833303565653032383832663162356533343630623030613133623032636566
6536303436646561356461623866386133623462383832620a646363626137626635353462386430
34333937313366383038346135656563316236313139333933383139376333353266666436316536
6335376265313432610a313537363637383264646261303637646631346137393964386432313633
3666Decrittografia del contenuto vault:
Incolla il blocco crittografato sopra con la password corretta per recuperare il valore originale db_password: s3cur3P@ss!.
Funzionalità
- Crittografia AES-256 completamente compatibile con il formato Ansible Vault 1.1
- Solo lato client — nessun dato viene inviato a nessun server
- Supporta sia la crittografia che la decrittografia con un singolo campo password
- Conversione istantanea con anteprima in tempo reale mentre digiti
- Funziona con segreti multi-riga, frammenti YAML e testo arbitrario
Casi d'uso
- Crittografare rapidamente un nuovo segreto prima di eseguire il commit in un repository Git contenente playbook Ansible
- Decrittografare e ispezionare il contenuto vault durante il debug senza aver bisogno di Ansible installato localmente
- Condividere segreti crittografati con i colleghi che possono decifrarli nel browser utilizzando una password vault condivisa
Come funziona
Ansible Vault 1.1 utilizza il seguente processo:
- Derivazione della chiave — PBKDF2-HMAC-SHA256 deriva una chiave di 80 byte dalla password e da un salt casuale (10.000 iterazioni). La chiave viene suddivisa in una chiave di crittografia di 32 byte, una chiave HMAC di 32 byte e un IV di 16 byte.
- Crittografia — Il testo in chiaro viene crittografato con AES-256-CTR utilizzando la chiave e l'IV derivati.
- Autenticazione — Un HMAC-SHA256 viene calcolato sul testo cifrato per garantire l'integrità.
- Codifica — Il salt, il digest HMAC e il testo cifrato vengono codificati in esadecimale e combinati sotto l'intestazione
$ANSIBLE_VAULT;1.1;AES256.
La decrittografia inverte il processo: la password ri-deriva le stesse chiavi, verifica l'HMAC e decrittografa il testo cifrato.
Limitazioni
- Supporta solo il formato Ansible Vault 1.1 con crittografia AES-256
- Non supporta etichette di ID vault per configurazioni multi-password
- I file di grandi dimensioni possono causare brevi ritardi nell'interfaccia utente a causa della fase di derivazione della chiave ad alta intensità di CPU