feat: implement end-to-end encryption (E2EE) support for agents with configuration and documentation updates

2026-03-05 00:06:32 +00:00
parent 1e5103eb70
commit 54fe479792
11 changed files with 227 additions and 21 deletions
@@ -111,7 +111,8 @@ matrix:

  encryption:
    enabled: true
-    store_path: "./data/crypto/"
+    store_path: "./agents/<agent-id>/data/crypto/"
+    pickle_key_env: PICKLE_KEY_<AGENT_UPPER>
    trust_mode: tofu
 ```

@@ -221,15 +222,15 @@ go run -tags goolm ./cmd/verify \
 3. Las sube al homeserver usando UIA con la password del bot
 4. Firma el device del bot con la self-signing key

-**Después de verificar:** Limpiar el crypto store temporal si se usó uno diferente al del agente.
-
 **Importante:** Si se cambia la password del bot (admin API), el token anterior se invalida. Hay que:
 1. Re-login para obtener nuevo token
 2. Actualizar `MATRIX_TOKEN_<AGENT>` en `.env`
 3. Actualizar `device_id` en `config.yaml`
-4. Borrar el crypto store viejo (`data/crypto/`)
+4. Borrar el crypto store viejo (`agents/<id>/data/crypto/crypto.db`)
 5. Re-ejecutar `cmd/verify`

+**Nota:** El pickle key (`PICKLE_KEY_<AGENT>`) NO cambia al rotar el token. Solo se regenera si se pierde. Ver `docs/e2ee.md`.
+
 ## Paso 6: Arrancar el agente

 ```bash
@@ -251,7 +252,7 @@ tail -f run/<agent-id>.log

 **Logs esperados al arrancar correctamente:**
 ```
-{"level":"INFO","msg":"initializing e2ee","store":"data/crypto/crypto.db"}
+{"level":"INFO","msg":"initializing e2ee","store":"agents/<id>/data/crypto/crypto.db"}
 {"level":"INFO","msg":"e2ee ready"}
 {"level":"INFO","msg":"agent starting","id":"<agent-id>","tools":["current_time","matrix_send"]}
 {"level":"INFO","msg":"starting matrix sync"}
@@ -305,7 +306,8 @@ tail -f run/<id>.log
 |----------|-------|----------|
 | `env var ... is not set` | La regex del `.env` loader no matchea | Verificar que el nombre de la var solo usa `[A-Z0-9_]` |
 | `M_UNKNOWN_TOKEN` | Token invalidado (password cambiada) | Re-login, actualizar `.env` |
-| `mismatching device ID` | Crypto store con device viejo | Borrar `data/crypto/`, actualizar `device_id` en config |
+| `mismatching device ID` | Crypto store con device viejo | Borrar `agents/<id>/data/crypto/crypto.db`, actualizar `device_id` en config |
+| `olm account not marked as shared` | Crypto store inconsistente | Auto-recovery lo resuelve al reiniciar. Si persiste: borrar crypto.db |
 | `"Encrypted by device not verified"` | Falta cross-signing | Ejecutar `cmd/verify` |
 | Bot no responde | Reglas no matchean | Verificar que hay regla catch-all para DMs/mentions |
 | `no rules registered for agent` | ID no está en `rulesRegistry` | Añadir en `cmd/launcher/main.go` |