访问官网
Github
文档
论文
-man%20page-lightgrey%3E){kind=icon}
age是一个简单、现代且安全的文件加密工具、格式和Go库。
它具有小巧明确的密钥、无配置选项以及UNIX风格的可组合性。
$ age-keygen -o key.txt
公钥: age1ql3z7hjy54pw3hyww5ayyfg7zqgvc7w3j2elw8zmrj2kg5sfn9aqmcac8p
$ tar cvz ~/data | age -r age1ql3z7hjy54pw3hyww5ayyfg7zqgvc7w3j2elw8zmrj2kg5sfn9aqmcac8p > data.tar.gz.age
$ age --decrypt -i key.txt data.tar.gz.age > data.tar.gz
📜 格式规范在age-encryption.org/v1。age由@Benjojo12和@FiloSottile设计。
📬 通过订阅维护者通讯关注本项目的维护情况!
🦀 在github.com/str4d/rage可获得一个可互操作的Rust替代实现。
🔑 通过age-plugin-yubikey插件支持YubiKey等硬件PIV令牌。
✨ 更多插件、实现、工具和集成,请查看awesome age列表。
💬 作者发音为[aɡe̞]硬音g,如同GIF,始终使用小写字母拼写。
安装
| Homebrew (macOS或Linux) |
brew install age
|
| MacPorts |
port install age
|
| Alpine Linux v3.15+ |
apk add age
|
| Arch Linux |
pacman -S age
|
| Debian 12+ (Bookworm) |
apt install age
|
| Debian 11 (Bullseye) |
apt install age/bullseye-backports
(启用backports以获取age v1.0.0+)
|
| Fedora 33+ |
dnf install age
|
| Gentoo Linux |
emerge app-crypt/age
|
| NixOS / Nix |
nix-env -i age
|
| openSUSE Tumbleweed |
zypper install age
|
| Ubuntu 22.04+ |
apt install age
|
| Void Linux |
xbps-install age
|
| FreeBSD |
pkg install age (security/age)
|
| OpenBSD 6.7+ |
pkg_add age (security/age)
|
| Chocolatey (Windows) |
choco install age.portable
|
| Scoop (Windows) |
scoop bucket add extras && scoop install age
|
| pkgx |
pkgx install age
|
在Windows、Linux、macOS和FreeBSD上,你可以使用预编译的二进制文件。
https://dl.filippo.io/age/latest?for=linux/amd64
https://dl.filippo.io/age/v1.1.1?for=darwin/arm64
...
如果你的系统有支持的Go版本,你可以从源代码构建。
go install filippo.io/age/cmd/...@latest
欢迎新的打包者提供帮助。
验证发布签名
如果你下载预编译的二进制文件,你可以检查它们的Sigsum证明,这类似于带有额外透明度的签名:你可以加密验证每个证明都记录在公共的仅追加日志中,所以你可以让age项目对我们发布的每个二进制文件负责。这与Go校验和数据库提供的类似。
cat << EOF > age-sigsum-key.pub
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIEjDYFJ4WVbxRLcgbppmPaMFS/Wbq+1r9cl4qdJTyRVL
EOF
cat << EOF > sigsum-trust-policy.txt
log 154f49976b59ff09a123675f58cb3e346e0455753c3c3b15d465dcb4f6512b0b https://poc.sigsum.org/jellyfish
witness poc.sigsum.org/nisse 1c25f8a44c635457e2e391d1efbca7d4c2951a0aef06225a881e46b98962ac6c
witness rgdd.se/poc-witness 28c92a5a3a054d317c86fc2eeb6a7ab2054d6217100d0be67ded5b74323c5806
group demo-quorum-rule all poc.sigsum.org/nisse rgdd.se/poc-witness
quorum demo-quorum-rule
EOF
curl -JO "https://dl.filippo.io/age/v1.2.0?for=darwin/arm64"
curl -JO "https://dl.filippo.io/age/v1.2.0?for=darwin/arm64&proof"
go install sigsum.org/sigsum-go/cmd/sigsum-verify@v0.6.2
sigsum-verify -k age-sigsum-key.pub -p sigsum-trust-policy.txt \
age-v1.2.0-darwin-arm64.tar.gz.proof < age-v1.2.0-darwin-arm64.tar.gz
你可以在Sigsum文档中了解更多关于上述内容的信息。
使用方法
完整文档请阅读age(1) man页面。
用法:
age [--encrypt] (-r 接收者 | -R 路径)... [--armor] [-o 输出] [输入]
age [--encrypt] --passphrase [--armor] [-o 输出] [输入]
age --decrypt [-i 路径]... [-o 输出] [输入]
选项: -e, --encrypt 将输入加密到输出。如果省略则为默认选项。 -d, --decrypt 将输入解密到输出。 -o, --output OUTPUT 将结果写入路径为OUTPUT的文件。 -a, --armor 加密为PEM编码格式。 -p, --passphrase 使用密码进行加密。 -r, --recipient RECIPIENT 加密到指定的RECIPIENT。可重复使用。 -R, --recipients-file PATH 加密到PATH列出的收件人。可重复使用。 -i, --identity PATH 使用PATH处的身份文件。可重复使用。
INPUT默认为标准输入,OUTPUT默认为标准输出。 如果OUTPUT已存在,将被覆盖。
RECIPIENT可以是由age-keygen生成的age公钥("age1...") 或SSH公钥("ssh-ed25519 AAAA...","ssh-rsa AAAA...")。
收件人文件包含一个或多个收件人,每行一个。空行 和以"#"开头的行被忽略作为注释。可使用"-"从标准输入 读取收件人。
身份文件包含一个或多个密钥("AGE-SECRET-KEY-1..."), 每行一个,或一个SSH密钥。空行和以"#"开头的行被 忽略作为注释。可以使用密码加密的age文件作为 身份文件。可以提供多个密钥文件,未使用的将被 忽略。可使用"-"从标准输入读取身份。
当明确指定--encrypt时,-i也可用于对身份文件进行 对称加密,可替代或补充正常的收件人。
多个收件人
文件可以通过重复使用-r/--recipient来加密给多个收件人。每个收件人都能解密该文件。
$ age -o example.jpg.age -r age1ql3z7hjy54pw3hyww5ayyfg7zqgvc7w3j2elw8zmrj2kg5sfn9aqmcac8p \
-r age1lggyhqrw2nlhcxprm67z43rta597azn8gknawjehu9d9dl0jq3yqqvfafg example.jpg
收件人文件
多个收件人也可以在一个或多个文件中每行列出一个,通过-R/--recipients-file标志传递。
$ cat recipients.txt
# Alice
age1ql3z7hjy54pw3hyww5ayyfg7zqgvc7w3j2elw8zmrj2kg5sfn9aqmcac8p
# Bob
age1lggyhqrw2nlhcxprm67z43rta597azn8gknawjehu9d9dl0jq3yqqvfafg
$ age -R recipients.txt example.jpg > example.jpg.age
如果-R(或-i)的参数是-,则从标准输入读取文件。
密码
可以使用-p/--passphrase用密码加密文件。默认情况下,age会自动生成一个安全的密码。在解密时会自动检测密码保护的文件。
$ age -p secrets.txt > secrets.txt.age
输入密码(留空以自动生成安全密码):
使用自动生成的密码"release-response-step-brand-wrap-ankle-pair-unusual-sword-train"。
$ age -d secrets.txt.age > secrets.txt
输入密码:
密码保护的密钥文件
如果传递给-i的身份文件是密码加密的age文件,它将被自动解密。
$ age-keygen | age -p > key.age
公钥:age1yhm4gctwfmrpz87tdslm550wrx6m79y9f2hdzt0lndjnehwj0ukqrjpyx5
输入密码(留空以自动生成安全密码):
使用自动生成的密码"hip-roast-boring-snake-mention-east-wasp-honey-input-actress"。
$ age -r age1yhm4gctwfmrpz87tdslm550wrx6m79y9f2hdzt0lndjnehwj0ukqrjpyx5 secrets.txt > secrets.txt.age
$ age -d -i key.age secrets.txt.age > secrets.txt
输入身份文件"key.age"的密码:
对于大多数用例,密码保护的身份文件并不必要,因为访问加密的身份文件意味着可以访问整个系统。但是,如果身份文件存储在远程,它们可能会有用。
SSH密钥
作为一个便利功能,age还支持加密到ssh-rsa和ssh-ed25519 SSH公钥,并使用相应的私钥文件解密。(不支持ssh-agent。)
$ age -R ~/.ssh/id_ed25519.pub example.jpg > example.jpg.age
$ age -d -i ~/.ssh/id_ed25519 example.jpg.age > example.jpg
请注意,SSH密钥支持使用更复杂的加密技术,并在加密文件中嵌入公钥标签,使得可以跟踪加密到特定公钥的文件。
加密到GitHub用户
结合SSH密钥支持和-R,您可以轻松地将文件加密到GitHub个人资料上列出的SSH密钥。
$ curl https://github.com/benjojo.keys | age -R - example.jpg > example.jpg.age
请记住,人们可能不会长期保护SSH密钥,因为当仅用于身份验证时它们是可撤销的,而且存储在YubiKey上的SSH密钥无法用于解密文件。
