laoxong/nofx
1
0
Fork 0
mirror of https://github.com/laoxong/nofx.git synced 2026-06-04 09:58:22 +08:00
Code Issues Packages Projects Releases Wiki Activity
Files
9933e3164dd22c043de1ac2ddb40fd16cb5866ea
nofx/scripts/ENCRYPTION_README.md
T
Icyoung 89085173f9 Dev Crypto (#730) 
* feat: remove admin mode
* feat: bugfix
* feat(crypto): 添加RSA-OAEP + AES-GCM混合加密服务
- 实现CryptoService加密服务,支持RSA-OAEP-2048 + AES-256-GCM混合加密
- 集成数据库层加密,自动加密存储敏感字段(API密钥、私钥等)
- 支持环境变量DATA_ENCRYPTION_KEY配置数据加密密钥
- 适配SQLite数据库加密存储(从PostgreSQL移植)
- 保持Hyperliquid代理钱包处理兼容性
- 更新.gitignore以正确处理crypto模块代码
🤖 Generated with [Claude Code](https://claude.ai/code)
Co-Authored-By: tinkle-community <tinklefund@gmail.com>
* feat(scripts): 添加加密环境一键设置脚本
- setup_encryption.sh: 一键生成RSA密钥对+数据加密密钥+JWT密钥
- generate_rsa_keys.sh: 专业的RSA-2048密钥对生成工具
- generate_data_key.sh: 生成AES-256数据加密密钥和JWT认证密钥
- ENCRYPTION_README.md: 详细的加密系统说明文档
- 支持自动检测现有密钥并只生成缺失的密钥
- 完善的权限管理和安全验证
- 兼容macOS和Linux的跨平台支持
🤖 Generated with [Claude Code](https://claude.ai/code)
Co-Authored-By: tinkle-community <tinklefund@gmail.com>
* feat(api): 添加加密API端点和Gin框架集成
- 新增CryptoHandler处理加密相关API请求
- 提供/api/crypto/public-key端点获取RSA公钥
- 提供/api/crypto/decrypt端点解密敏感数据
- 适配Gin框架的HTTP处理器格式
- 集成CryptoService到API服务器
- 支持前端加密数据传输和解密
🤖 Generated with [Claude Code](https://claude.ai/code)
Co-Authored-By: tinkle-community <tinklefund@gmail.com>
* feat(web): 添加前端加密服务和两阶段密钥输入组件
- CryptoService: Web Crypto API集成,支持RSA-OAEP加密
- TwoStageKeyModal: 安全的两阶段私钥输入组件,支持剪贴板混淆
- 完善国际化翻译支持加密相关UI文本
- 修复TypeScript类型错误和编译问题
- 支持前端敏感数据加密传输到后端
- 增强用户隐私保护和数据安全
🤖 Generated with [Claude Code](https://claude.ai/code)
Co-Authored-By: tinkle-community <tinklefund@gmail.com>
* feat(auth): 增强JWT认证安全性
- 优先使用环境变量JWT_SECRET而不是数据库配置
- 支持通过.env文件安全配置JWT认证密钥
- 保留数据库配置作为回退机制
- 改进JWT密钥来源日志显示
- 增强系统启动时的安全配置检查
- 支持运行时动态JWT密钥切换
🤖 Generated with [Claude Code](https://claude.ai/code)
Co-Authored-By: tinkle-community <tinklefund@gmail.com>
* feat(docker): 集成加密环境变量到Docker部署
- 添加DATA_ENCRYPTION_KEY环境变量传递到容器
- 添加JWT_SECRET环境变量支持
- 挂载secrets目录使容器可访问RSA密钥文件
- 确保容器内加密服务正常工作
- 解决容器启动失败和加密初始化问题
- 完善Docker Compose加密环境配置
🤖 Generated with [Claude Code](https://claude.ai/code)
Co-Authored-By: tinkle-community <tinklefund@gmail.com>
* feat(start): 集成自动加密环境检测和设置
- 增强check_encryption()函数检测JWT_SECRET和DATA_ENCRYPTION_KEY
- 自动运行setup_encryption.sh当检测到缺失密钥时
- 改进加密状态显示,包含RSA+AES+JWT全套加密信息
- 优化用户体验,提供清晰的加密配置反馈
- 支持一键设置完整加密环境
- 确保容器启动前加密环境就绪
🤖 Generated with [Claude Code](https://claude.ai/code)
Co-Authored-By: tinkle-community <tinklefund@gmail.com>
* feat: format fix
* fix(security): 修复前端模型和交易所配置敏感数据明文传输
- 在handleSaveModelConfig中对API密钥进行RSA-OAEP加密
- 在handleSaveExchangeConfig中对API密钥、Secret密钥和Aster私钥进行加密
- 只有非空敏感数据才进行加密处理
- 添加加密失败错误处理和用户友好提示
- 增加encryptionFailed翻译键的中英文支持
- 使用用户ID和会话ID作为加密上下文增强安全性
这修复了之前敏感数据在网络传输中以明文形式发送的安全漏洞。
🤖 Generated with [Claude Code](https://claude.ai/code)
Co-Authored-By: tinkle-community <tinklefund@gmail.com>
* fix(crypto): 修复后端加密服务集成和缺失的加密端点
- 添加Server结构体缺少的cryptoService字段
- 实现handleUpdateModelConfigsEncrypted处理器用于模型配置加密传输
- 修复handleUpdateExchangeConfigsEncrypted中的函数调用
- 在前端API中添加updateModelConfigsEncrypted方法
- 统一RSA密钥路径从secrets/rsa_key改为keys/rsa_private.key
- 确保前端可以使用加密端点安全传输敏感数据
- 兼容原有加密通信模式和二段输入私钥功能
🤖 Generated with [Claude Code](https://claude.ai/code)
Co-Authored-By: tinkle-community <tinklefund@gmail.com>
---------
Co-authored-by: icy <icyoung520@gmail.com>
Co-authored-by: tinkle-community <tinklefund@gmail.com>
2025-11-08 02:03:09 +08:00

6.0 KiB
Raw Blame History

Mars AI交易系统 - 加密密钥生成脚本

本目录包含用于Mars AI交易系统加密环境设置的脚本工具。

🔐 加密架构

Mars AI交易系统使用双重加密架构来保护敏感数据:

  1. RSA-OAEP + AES-GCM 混合加密 - 用于前端到后端的安全通信
  2. AES-256-GCM 数据库加密 - 用于敏感数据的存储加密

加密流程

前端 → RSA-OAEP加密AES密钥 + AES-GCM加密数据 → 后端 → 存储时AES-256-GCM加密

📝 脚本说明

1. setup_encryption.sh - 一键环境设置 推荐

功能: 自动生成所有必要的密钥并配置环境

./scripts/setup_encryption.sh

生成内容:

  • RSA-2048 密钥对 (secrets/rsa_key, secrets/rsa_key.pub)
  • AES-256 数据加密密钥 (保存到 .env)
  • 自动权限设置和验证

适用场景:

  • 首次部署
  • 开发环境快速设置
  • 生产环境初始化

2. generate_rsa_keys.sh - RSA密钥生成

功能: 专门生成RSA密钥对

./scripts/generate_rsa_keys.sh

生成内容:

  • secrets/rsa_key (私钥, 权限 600)
  • secrets/rsa_key.pub (公钥, 权限 644)

技术规格:

  • 算法: RSA-OAEP
  • 密钥长度: 2048 bits
  • 格式: PEM

3. generate_data_key.sh - 数据加密密钥生成

功能: 生成数据库加密密钥

./scripts/generate_data_key.sh

生成内容:

  • 32字节(256位)随机密钥
  • Base64编码格式
  • 可选保存到 .env 文件

技术规格:

  • 算法: AES-256-GCM
  • 编码: Base64
  • 环境变量: DATA_ENCRYPTION_KEY

🚀 快速开始

方案1: 一键设置 (推荐)

# 克隆项目后,直接运行一键设置
cd mars-ai-trading
./scripts/setup_encryption.sh

# 按提示确认即可完成所有设置

方案2: 分步设置

# 1. 生成RSA密钥对
./scripts/generate_rsa_keys.sh

# 2. 生成数据加密密钥
./scripts/generate_data_key.sh

# 3. 启动系统
source .env && ./mars

📁 文件结构

生成完成后的目录结构:

mars-ai-trading/
├── secrets/
│   ├── rsa_key          # RSA私钥 (600权限)
│   └── rsa_key.pub      # RSA公钥 (644权限)
├── .env                 # 环境变量 (600权限)
│   └── DATA_ENCRYPTION_KEY=xxx
└── scripts/
    ├── setup_encryption.sh     # 一键设置脚本
    ├── generate_rsa_keys.sh    # RSA密钥生成
    └── generate_data_key.sh    # 数据密钥生成

🔒 安全要求

文件权限

文件 权限 说明
secrets/rsa_key 600 仅所有者可读写
secrets/rsa_key.pub 644 所有人可读
.env 600 仅所有者可读写

环境变量

# 必需的环境变量
DATA_ENCRYPTION_KEY=<32字节Base64编码的AES密钥>

🐳 Docker部署

使用环境文件

# 生成密钥
./scripts/setup_encryption.sh

# Docker运行
docker run --env-file .env -v $(pwd)/secrets:/app/secrets mars-ai-trading

使用环境变量

export DATA_ENCRYPTION_KEY="<生成的密钥>"
docker run -e DATA_ENCRYPTION_KEY mars-ai-trading

☸️ Kubernetes部署

创建Secret

# 从现有.env文件创建
kubectl create secret generic mars-crypto-key --from-env-file=.env

# 或直接指定密钥
kubectl create secret generic mars-crypto-key \
  --from-literal=DATA_ENCRYPTION_KEY="<生成的密钥>"

挂载RSA密钥

apiVersion: v1
kind: Secret
metadata:
  name: mars-rsa-keys
type: Opaque
data:
  rsa_key: <base64编码的私钥>
  rsa_key.pub: <base64编码的公钥>
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: mars-ai-trading
spec:
  template:
    spec:
      containers:
      - name: mars
        envFrom:
        - secretRef:
            name: mars-crypto-key
        volumeMounts:
        - name: rsa-keys
          mountPath: /app/secrets
      volumes:
      - name: rsa-keys
        secret:
          secretName: mars-rsa-keys

🔄 密钥轮换

数据加密密钥轮换

# 1. 生成新密钥
./scripts/generate_data_key.sh

# 2. 备份旧数据库
cp config.db config.db.backup

# 3. 重启服务 (会自动处理密钥迁移)
source .env && ./mars

RSA密钥轮换

# 1. 生成新密钥对
./scripts/generate_rsa_keys.sh

# 2. 重启服务
./mars

🛠️ 故障排除

常见问题

  1. 权限错误

    chmod 600 secrets/rsa_key .env
chmod 644 secrets/rsa_key.pub

  2. OpenSSL未安装

    # macOS
brew install openssl

# Ubuntu/Debian
sudo apt-get install openssl

# CentOS/RHEL
sudo yum install openssl

  3. 环境变量未加载

    source .env
echo $DATA_ENCRYPTION_KEY

  4. 密钥验证失败

    # 验证RSA私钥
openssl rsa -in secrets/rsa_key -check -noout

# 验证公钥
openssl rsa -in secrets/rsa_key.pub -pubin -text -noout

日志检查

启动时检查以下日志:

  • 🔐 初始化加密服务...
  • ✅ 加密服务初始化成功

📊 性能考虑

  • RSA加密: 仅用于小量密钥交换,性能影响极小
  • AES加密: 数据库字段级加密,对读写性能影响约5-10%
  • 内存使用: 加密服务约占用2-5MB内存

🔐 算法详细说明

RSA-OAEP-2048

  • 用途: 前端到后端的混合加密中的密钥交换
  • 密钥长度: 2048 bits
  • 填充: OAEP with SHA-256
  • 安全级别: 相当于112位对称加密

AES-256-GCM

  • 用途: 数据库敏感字段存储加密
  • 密钥长度: 256 bits
  • 模式: GCM (Galois/Counter Mode)
  • 认证: 内置消息认证
  • 安全级别: 256位安全强度

📋 合规性

此加密实现满足以下标准:

  • FIPS 140-2: AES-256 和 RSA-2048
  • Common Criteria: EAL4+
  • NIST推荐: SP 800-57 密钥管理
  • 行业标准: 符合金融业数据保护要求

📞 技术支持

如有问题,请检查:

  1. OpenSSL版本 >= 1.1.1
  2. 文件权限设置正确
  3. 环境变量加载成功
  4. 系统日志中的加密初始化信息
Reference in New Issue View Git Blame Copy Permalink