14-16 Mar 2026
Voltar ao Plano

Gerar nova passphrase Galileu e recriptografar dados

ACT-2.3
Curto PrazoAltaEsforco: GComplexidade: Alta
Por que e urgente

Passphrase `testePassPhrase` e salt `1q2w3E*` sao valores triviais expostos no repositorio. Com eles, qualquer dev pode descriptografar todas as senhas Galileu de todos os 22 tenants

Risco de nao fazer

Comprometimento de todas as credenciais Galileu de todos os clientes

Modulos Impactados

aspnet-core/src/cargo_fleet.Application/Encryption/PasswordEncryptionService.csappsettings.jsonKubernetes Secretstabela AppGalileuCredentials no banco

Dependencias

ACT-1.5Rotacionar credenciais PostgreSQL e CargaAdicional

Passos de Implementacao

  1. 1Gerar passphrase aleatoria de 32+ caracteres e salt forte
  2. 2Armazenar em Kubernetes Secret como `GalileuCredentials__PassPhrase` e `GalileuCredentials__Salt`
  3. 3Criar script/migration para: descriptografar com chave antiga -> recriptografar com chave nova (para cada registro da tabela)
  4. 4Testar em homologacao com dados reais
  5. 5Aplicar em producao com janela de manutencao
  6. 6Remover valores antigos do `appsettings.json`

Achados Relacionados

HIGH-02
AnteriorACT-2.2 Criar indices na tabela AppOfertas
ProximoMigrar Redis para volume persistente ACT-2.4