35 lines
1.6 KiB
Python
35 lines
1.6 KiB
Python
"""Хранилище ключа шифрования секретов устройств (envelope encryption).
|
|
|
|
В таблице ровно одна запись (id=1). Поля:
|
|
- kdf_salt — соль для PBKDF2 (16 B), base64
|
|
- kdf_iterations — число итераций PBKDF2 (по умолчанию 200_000)
|
|
- verifier — короткий тест-токен AES-GCM, зашифрованный KEK; используется,
|
|
чтобы проверить корректность мастер-пароля без расшифровки DEK
|
|
- dek_wrapped — DEK (32 B), завёрнутый AES-GCM от KEK; формат nonce|cipher|tag, base64
|
|
- created_at / updated_at
|
|
"""
|
|
from __future__ import annotations
|
|
|
|
from datetime import datetime
|
|
|
|
from sqlalchemy import DateTime, Integer, String, Text, func
|
|
from sqlalchemy.orm import Mapped, mapped_column
|
|
|
|
from ..core.db import Base
|
|
|
|
|
|
class Vault(Base):
|
|
__tablename__ = "vault"
|
|
|
|
id: Mapped[int] = mapped_column(Integer, primary_key=True)
|
|
kdf_salt: Mapped[str] = mapped_column(String(64), nullable=False)
|
|
kdf_iterations: Mapped[int] = mapped_column(Integer, nullable=False, default=200_000)
|
|
verifier: Mapped[str] = mapped_column(Text, nullable=False)
|
|
dek_wrapped: Mapped[str] = mapped_column(Text, nullable=False)
|
|
created_at: Mapped[datetime] = mapped_column(
|
|
DateTime(timezone=True), server_default=func.now(), nullable=False
|
|
)
|
|
updated_at: Mapped[datetime] = mapped_column(
|
|
DateTime(timezone=True), server_default=func.now(), onupdate=func.now(), nullable=False
|
|
)
|