Управление секретами

PRX обеспечивает безопасное хранение конфиденциальных данных -- API-ключей, токенов и учётных данных. Секреты шифруются при хранении и доступны через контролируемый API.

Обзор

Система секретов:

• Шифрует секреты при хранении с помощью AES-256-GCM
• Производит ключ шифрования из мастер-пароля или системного хранилища ключей
• Обеспечивает инъекцию переменных окружения при выполнении инструментов
• Поддерживает ротацию секретов и срок действия

Хранение

Секреты хранятся в зашифрованном файле ~/.local/share/openprx/secrets.enc. Ключ шифрования производится из:

1. Системного хранилища ключей (предпочтительно, когда доступно)
2. Мастер-пароля (интерактивный запрос)
3. Переменной окружения PRX_MASTER_KEY (для автоматизации)

Конфигурация

[security.secrets]
store_path = "~/.local/share/openprx/secrets.enc"
key_derivation = "argon2id"
auto_rotate_days = 90

Команды CLI

prx secret set OPENAI_API_KEY      # Установить секрет (запрашивает значение)
prx secret get OPENAI_API_KEY      # Получить секрет
prx secret list                    # Список имён секретов (не значений)
prx secret delete OPENAI_API_KEY   # Удалить секрет
prx secret rotate                  # Ротация мастер-ключа

Связанные страницы

• Обзор безопасности
• Аутентификация