访问官网
Github
rage是一个简单、现代且安全的文件加密工具,使用age格式。它具有小巧明确的密钥、无配置选项以及类UNIX的组合性。
格式规范详见age-encryption.org/v1。 age由@Benjojo12和@FiloSottile设计。
可互操作的Go参考实现见filippo.io/age。
通过age-plugin-yubikey插件支持YubiKey等硬件PIV令牌。
更多插件、实现、工具和集成,请查看awesome age列表。
安装
| 环境 | CLI命令 |
|---|---|
| Cargo (Rust 1.65+) | cargo install rage |
| Homebrew (macOS或Linux) | brew install rage |
| Alpine Linux (edge) | apk add rage |
| Arch Linux | pacman -S rage-encryption |
| Debian | Debian软件包 |
| NixOS | 添加到配置:environment.systemPackages = [ pkgs.rage ];或运行 nix-env -i rage |
| openSUSE Tumbleweed | zypper install rage-encryption |
| Ubuntu 20.04+ | Debian软件包 |
| FreeBSD | pkg install rage-encryption |
| Scoop (Windows) | scoop bucket add mainscoop install main/rage |
在Windows、Linux和macOS上,你可以使用预编译二进制文件。
欢迎新的打包者提供帮助。请使用软件包名称
rage;只有在使用全局命名空间的软件包系统中不可避免地出现名称冲突时,才应使用备用软件包名称rage-encryption。不要重命名任何二进制文件;相反,使用你的软件包系统的冲突包机制来防止同时安装两个软件包。
使用方法
用法:rage [--encrypt] (-r 接收者 | -R 路径)... [-i 身份] [-a] [-o 输出] [输入]
rage [--encrypt] --passphrase [-a] [-o 输出] [输入]
rage --decrypt [-i 身份] [-o 输出] [输入]
参数:
[输入] 要读取的文件路径。
选项:
-h, --help 打印此帮助信息并退出。
-V, --version 打印版本信息并退出。
-e, --encrypt 加密输入(默认)。
-d, --decrypt 解密输入。
-p, --passphrase 使用密码而非接收者进行加密。
--max-work-factor <WF> 允许密码解密的最大工作因子。
-a, --armor 加密为PEM编码格式。
-r, --recipient <接收者> 加密到指定接收者。可重复。
-R, --recipients-file <路径> 加密到路径列出的接收者。可重复。
-i, --identity <身份> 使用身份文件位于身份。可重复。
-j <插件名称> 使用age-plugin-插件名称作为默认模式的身份。
-o, --output <输出> 将结果写入路径输出的文件。
输入默认为标准输入,输出默认为标准输出。
如果输出文件存在,将被覆盖。
接收者可以是:
- 由rage-keygen生成的age公钥("age1...")。
- SSH公钥("ssh-ed25519 AAAA...","ssh-rsa AAAA...")。
路径是包含age接收者的文件路径,每行一个
(忽略"#"开头的注释和空行)。"-"可用于
从标准输入读取接收者。
身份是包含age身份的文件路径,每行一个
(忽略"#"开头的注释和空行),或SSH密钥文件路径。
可以使用密码加密的age身份文件作为身份文件。
可以提供多个身份,未使用的身份将被忽略。
"-"可用于从标准输入读取身份。
多个接收者
通过重复使用-r/--recipient,文件可以加密给多个接收者。
每个接收者都能解密该文件。
$ rage -o example.png.age -r age1uvscypafkkxt6u2gkguxet62cenfmnpc0smzzlyun0lzszfatawq4kvf2u \
-r age1ex4ty8ppg02555at009uwu5vlk5686k3f23e7mac9z093uvzfp8sxr5jum example.png
接收者文件
多个接收者也可以在一个或多个文件中每行列出一个,通过-R/--recipients-file标志传递。
$ cat recipients.txt
# Alice
age1ql3z7hjy54pw3hyww5ayyfg7zqgvc7w3j2elw8zmrj2kg5sfn9aqmcac8p
# Bob
age1lggyhqrw2nlhcxprm67z43rta597azn8gknawjehu9d9dl0jq3yqqvfafg
$ rage -R recipients.txt example.jpg > example.jpg.age
如果-R(或-i)的参数是-,则从标准输入读取文件。
密码
使用-p/--passphrase可以用密码加密文件。默认情况下,rage会自动生成一个安全的密码。
$ rage -p -o example.png.age example.png
输入密码(留空则自动生成安全密码):[隐藏]
使用自动生成的密码:
kiwi-general-undo-bubble-dwarf-dizzy-fame-side-sunset-sibling
$ rage -d example.png.age >example.png
输入密码:[隐藏]
如果在$PATH中有名为pinentry的二进制文件,它将用于询问用户密码。可以使用PINENTRY_PROGRAM环境变量设置要使用的二进制文件名或路径。如果没有pinentry二进制文件可用,或PINENTRY_PROGRAM设置为空字符串,rage将回退到CLI。
密码保护的身份文件
如果传递给-i/--identity的身份文件是密码加密的age文件,它将自动解密。
$ rage -p -o key.age <(rage-keygen)
公钥:age1pymw5hyr39qyuc950tget63aq8vfd52dclj8x7xhm08g6ad86dkserumnz
输入密码(留空则自动生成安全密码):[隐藏]
使用自动生成的密码:
flash-bean-celery-network-curious-flower-salt-amateur-fence-giant
$ rage -r age1pymw5hyr39qyuc950tget63aq8vfd52dclj8x7xhm08g6ad86dkserumnz secrets.txt > secrets.txt.age
$ rage -d -i key.age secrets.txt.age > secrets.txt
输入密码:[隐藏]
对于大多数用例,密码保护的身份文件并非必要,因为访问加密的身份文件意味着可以访问整个系统。但如果身份文件存储在远程,它们可能会有用。
SSH密钥
作为一个便利功能,rage还支持加密到ssh-rsa和ssh-ed25519 SSH公钥,并使用相应的私钥文件进行解密。(不支持ssh-agent。)
$ rage -R ~/.ssh/id_ed25519.pub example.png > example.png.age
$ rage -d -i ~/.ssh/id_ed25519 example.png.age > example.png
请注意,SSH密钥支持采用更复杂的加密方式,并在加密文件中嵌入公钥标签,使得可以追踪加密到特定公钥的文件。
功能标志
使用Cargo构建时,可以通过--no-default-features和--features comma,separated,flags配置rage,启用或禁用以下功能标志:
mount启用rage-mount工具,可以将age加密的TAR或ZIP存档挂载为只读。目前仅在Unix系统上可用,因为它依赖于libfuse。ssh(默认启用)支持重用现有SSH密钥文件进行age加密。unstable启用开发中的功能。此功能标志后的任何内容都没有稳定性或互操作性保证。
Rust库
希望将rage作为库使用的应用程序应使用age
crate,rage就是建立在它之上的。
许可证
根据以下两种许可之一使用:
- Apache许可证2.0版(LICENSE-APACHE或 http://www.apache.org/licenses/LICENSE-2.0)
- MIT许可证(LICENSE-MIT或http://opensource.org/licenses/MIT)
由你选择。
贡献
除非你明确声明,否则你有意提交以包含在作品中的任何贡献, 如Apache-2.0许可证中定义,均应按上述方式双重许可, 无任何额外条款或条件。
