128 lines
4.1 KiB
Go
128 lines
4.1 KiB
Go
package cmd
|
||
|
||
import (
|
||
"crypto/aes"
|
||
"crypto/cipher"
|
||
"crypto/rand"
|
||
"crypto/sha256"
|
||
"encoding/base64"
|
||
"fmt"
|
||
"io"
|
||
"os"
|
||
|
||
"github.com/spf13/cobra"
|
||
)
|
||
|
||
var encryptCmd = &cobra.Command{
|
||
Use: "encrypt",
|
||
Short: "Зашифровать конфигурационный файл",
|
||
Long: `Зашифровывает YAML конфигурационный файл с помощью AES-GCM шифрования`,
|
||
PreRunE: func(cmd *cobra.Command, args []string) error {
|
||
// Для команды encrypt config не обязателен если есть -i
|
||
return nil
|
||
},
|
||
RunE: runEncrypt,
|
||
}
|
||
|
||
func init() {
|
||
rootCmd.AddCommand(encryptCmd)
|
||
encryptCmd.Flags().StringVarP(&inputFile, "input", "i", "", "Входной файл для шифрования (если не указан, используется --config)")
|
||
encryptCmd.Flags().StringVarP(&outputFile, "output", "o", "", "Выходной зашифрованный файл")
|
||
encryptCmd.MarkFlagRequired("output")
|
||
}
|
||
|
||
var (
|
||
inputFile string
|
||
outputFile string
|
||
)
|
||
|
||
func runEncrypt(cmd *cobra.Command, args []string) error {
|
||
// Определяем входной файл: либо из -i, либо из глобального --config
|
||
input := inputFile
|
||
if input == "" {
|
||
input = configFile
|
||
if input == "" {
|
||
return fmt.Errorf("необходимо указать входной файл через -i или --config")
|
||
}
|
||
}
|
||
|
||
// Читаем входной файл
|
||
data, err := os.ReadFile(input)
|
||
if err != nil {
|
||
return fmt.Errorf("не удалось прочитать входной файл %s: %w", input, err)
|
||
}
|
||
|
||
// Получаем ключ шифрования
|
||
key, err := getEncryptionKeyHashed(keyFile)
|
||
if err != nil {
|
||
return fmt.Errorf("не удалось получить ключ шифрования: %w", err)
|
||
}
|
||
|
||
// Шифруем данные
|
||
encryptedData, err := encrypt(data, key)
|
||
if err != nil {
|
||
return fmt.Errorf("не удалось зашифровать данные: %w", err)
|
||
}
|
||
|
||
// Записываем зашифрованный файл с префиксом "ENCRYPTED:"
|
||
output := "ENCRYPTED:" + encryptedData
|
||
if err := os.WriteFile(outputFile, []byte(output), 0600); err != nil {
|
||
return fmt.Errorf("не удалось записать зашифрованный файл: %w", err)
|
||
}
|
||
|
||
fmt.Printf("Файл успешно зашифрован: %s → %s\n", input, outputFile)
|
||
return nil
|
||
}
|
||
|
||
// getEncryptionKeyHashed получает ключ шифрования и хеширует его до 32 байт
|
||
func getEncryptionKeyHashed(keyFile string) ([]byte, error) {
|
||
var rawKey []byte
|
||
var err error
|
||
|
||
if keyFile != "" {
|
||
// Читаем ключ из файла
|
||
rawKey, err = os.ReadFile(keyFile)
|
||
if err != nil {
|
||
return nil, fmt.Errorf("не удалось прочитать файл ключа: %w", err)
|
||
}
|
||
} else {
|
||
// Пытаемся получить ключ из системной переменной
|
||
key := os.Getenv("GO_KNOCKER_SERVE_PASS")
|
||
if key == "" {
|
||
return nil, fmt.Errorf("ключ шифрования не найден ни в файле, ни в переменной GO_KNOCKER_SERVE_PASS")
|
||
}
|
||
rawKey = []byte(key)
|
||
}
|
||
|
||
// Хешируем ключ SHA256 чтобы получить всегда 32 байта
|
||
hash := sha256.Sum256(rawKey)
|
||
return hash[:], nil
|
||
}
|
||
|
||
// encrypt шифрует данные с помощью AES-GCM
|
||
func encrypt(plaintext []byte, key []byte) (string, error) {
|
||
// Создаем AES cipher
|
||
block, err := aes.NewCipher(key)
|
||
if err != nil {
|
||
return "", fmt.Errorf("не удалось создать AES cipher: %w", err)
|
||
}
|
||
|
||
// Создаем GCM
|
||
gcm, err := cipher.NewGCM(block)
|
||
if err != nil {
|
||
return "", fmt.Errorf("не удалось создать GCM: %w", err)
|
||
}
|
||
|
||
// Создаем nonce
|
||
nonce := make([]byte, gcm.NonceSize())
|
||
if _, err := io.ReadFull(rand.Reader, nonce); err != nil {
|
||
return "", fmt.Errorf("не удалось создать nonce: %w", err)
|
||
}
|
||
|
||
// Шифруем
|
||
ciphertext := gcm.Seal(nonce, nonce, plaintext, nil)
|
||
|
||
// Кодируем в base64
|
||
return base64.StdEncoding.EncodeToString(ciphertext), nil
|
||
}
|