age

<p align="center"> <picture> <source media="(prefers-color-scheme: dark)" srcset="https://github.com/FiloSottile/age/blob/main/logo/logo_white.svg"> <source media="(prefers-color-scheme: light)" srcset="https://yellow-cdn.veclightyear.com/835a84d5/281910be-b807-47cb-9f4e-238f60b07c71.svg"> <img alt="age标志,罗马圣彼得大教堂的线框图,文字: age,文件加密" width="600" src="https://yellow-cdn.veclightyear.com/835a84d5/281910be-b807-47cb-9f4e-238f60b07c71.svg"> </picture> </p>

age是一个简单、现代且安全的文件加密工具、格式和Go库。

它具有小巧明确的密钥、无配置选项以及UNIX风格的可组合性。

$ age-keygen -o key.txt
公钥: age1ql3z7hjy54pw3hyww5ayyfg7zqgvc7w3j2elw8zmrj2kg5sfn9aqmcac8p
$ tar cvz ~/data | age -r age1ql3z7hjy54pw3hyww5ayyfg7zqgvc7w3j2elw8zmrj2kg5sfn9aqmcac8p > data.tar.gz.age
$ age --decrypt -i key.txt data.tar.gz.age > data.tar.gz

📜 格式规范在age-encryption.org/v1。age由@Benjojo12和@FiloSottile设计。

📬 通过订阅维护者通讯关注本项目的维护情况！

🦀 在github.com/str4d/rage可获得一个可互操作的Rust替代实现。

🔑 通过age-plugin-yubikey插件支持YubiKey等硬件PIV令牌。

✨ 更多插件、实现、工具和集成，请查看awesome age列表。

💬 作者发音为[aɡe̞]硬音g,如同GIF,始终使用小写字母拼写。

安装

<table> <tr> <td>Homebrew (macOS或Linux)</td> <td> <code>brew install age</code> </td> </tr> <tr> <td>MacPorts</td> <td> <code>port install age</code> </td> </tr> <tr> <td>Alpine Linux v3.15+</td> <td> <code>apk add age</code> </td> </tr> <tr> <td>Arch Linux</td> <td> <code>pacman -S age</code> </td> </tr> <tr> <td>Debian 12+ (Bookworm)</td> <td> <code>apt install age</code> </td> </tr> <tr> <td>Debian 11 (Bullseye)</td> <td> <code>apt install age/bullseye-backports</code> (<a href="https://backports.debian.org/Instructions/#index2h2">启用backports</a>以获取age v1.0.0+) </td> </tr> <tr> <td>Fedora 33+</td> <td> <code>dnf install age</code> </td> </tr> <tr> <td>Gentoo Linux</td> <td> <code>emerge app-crypt/age</code> </td> </tr> <tr> <td>NixOS / Nix</td> <td> <code>nix-env -i age</code> </td> </tr> <tr> <td>openSUSE Tumbleweed</td> <td> <code>zypper install age</code> </td> </tr> <tr> <td>Ubuntu 22.04+</td> <td> <code>apt install age</code> </td> </tr> <tr> <td>Void Linux</td> <td> <code>xbps-install age</code> </td> </tr> <tr> <td>FreeBSD</td> <td> <code>pkg install age</code> (security/age) </td> </tr> <tr> <td>OpenBSD 6.7+</td> <td> <code>pkg_add age</code> (security/age) </td> </tr> <tr> <td>Chocolatey (Windows)</td> <td> <code>choco install age.portable</code> </td> </tr> <tr> <td>Scoop (Windows)</td> <td> <code>scoop bucket add extras && scoop install age</code> </td> </tr> <tr> <td>pkgx</td> <td> <code>pkgx install age</code> </td> </tr> </table>

在Windows、Linux、macOS和FreeBSD上,你可以使用预编译的二进制文件。

https://dl.filippo.io/age/latest?for=linux/amd64
https://dl.filippo.io/age/v1.1.1?for=darwin/arm64
...

如果你的系统有支持的Go版本,你可以从源代码构建。

go install filippo.io/age/cmd/...@latest

欢迎新的打包者提供帮助。

验证发布签名

如果你下载预编译的二进制文件,你可以检查它们的Sigsum证明,这类似于带有额外透明度的签名:你可以加密验证每个证明都记录在公共的仅追加日志中,所以你可以让age项目对我们发布的每个二进制文件负责。这与Go校验和数据库提供的类似。

cat << EOF > age-sigsum-key.pub
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIEjDYFJ4WVbxRLcgbppmPaMFS/Wbq+1r9cl4qdJTyRVL
EOF
cat << EOF > sigsum-trust-policy.txt
log 154f49976b59ff09a123675f58cb3e346e0455753c3c3b15d465dcb4f6512b0b https://poc.sigsum.org/jellyfish
witness poc.sigsum.org/nisse 1c25f8a44c635457e2e391d1efbca7d4c2951a0aef06225a881e46b98962ac6c
witness rgdd.se/poc-witness  28c92a5a3a054d317c86fc2eeb6a7ab2054d6217100d0be67ded5b74323c5806
group  demo-quorum-rule all poc.sigsum.org/nisse rgdd.se/poc-witness
quorum demo-quorum-rule
EOF

curl -JO "https://dl.filippo.io/age/v1.2.0?for=darwin/arm64"
curl -JO "https://dl.filippo.io/age/v1.2.0?for=darwin/arm64&proof"

go install sigsum.org/sigsum-go/cmd/sigsum-verify@v0.6.2
sigsum-verify -k age-sigsum-key.pub -p sigsum-trust-policy.txt \
    age-v1.2.0-darwin-arm64.tar.gz.proof < age-v1.2.0-darwin-arm64.tar.gz

你可以在Sigsum文档中了解更多关于上述内容的信息。

使用方法

完整文档请阅读age(1) man页面。

用法:
    age [--encrypt] (-r 接收者 | -R 路径)... [--armor] [-o 输出] [输入]
    age [--encrypt] --passphrase [--armor] [-o 输出] [输入]
    age --decrypt [-i 路径]... [-o 输出] [输入]

选项： -e, --encrypt 将输入加密到输出。如果省略则为默认选项。 -d, --decrypt 将输入解密到输出。 -o, --output OUTPUT 将结果写入路径为OUTPUT的文件。 -a, --armor 加密为PEM编码格式。 -p, --passphrase 使用密码进行加密。 -r, --recipient RECIPIENT 加密到指定的RECIPIENT。可重复使用。 -R, --recipients-file PATH 加密到PATH列出的收件人。可重复使用。 -i, --identity PATH 使用PATH处的身份文件。可重复使用。

INPUT默认为标准输入，OUTPUT默认为标准输出。 如果OUTPUT已存在，将被覆盖。

RECIPIENT可以是由age-keygen生成的age公钥（"age1..."） 或SSH公钥（"ssh-ed25519 AAAA..."，"ssh-rsa AAAA..."）。

收件人文件包含一个或多个收件人，每行一个。空行 和以"#"开头的行被忽略作为注释。可使用"-"从标准输入 读取收件人。

身份文件包含一个或多个密钥（"AGE-SECRET-KEY-1..."）， 每行一个，或一个SSH密钥。空行和以"#"开头的行被 忽略作为注释。可以使用密码加密的age文件作为 身份文件。可以提供多个密钥文件，未使用的将被 忽略。可使用"-"从标准输入读取身份。

当明确指定--encrypt时，-i也可用于对身份文件进行 对称加密，可替代或补充正常的收件人。

多个收件人

文件可以通过重复使用-r/--recipient来加密给多个收件人。每个收件人都能解密该文件。

$ age -o example.jpg.age -r age1ql3z7hjy54pw3hyww5ayyfg7zqgvc7w3j2elw8zmrj2kg5sfn9aqmcac8p \
    -r age1lggyhqrw2nlhcxprm67z43rta597azn8gknawjehu9d9dl0jq3yqqvfafg example.jpg

收件人文件

多个收件人也可以在一个或多个文件中每行列出一个，通过-R/--recipients-file标志传递。

$ cat recipients.txt
# Alice
age1ql3z7hjy54pw3hyww5ayyfg7zqgvc7w3j2elw8zmrj2kg5sfn9aqmcac8p
# Bob
age1lggyhqrw2nlhcxprm67z43rta597azn8gknawjehu9d9dl0jq3yqqvfafg
$ age -R recipients.txt example.jpg > example.jpg.age

如果-R（或-i）的参数是-，则从标准输入读取文件。

密码

可以使用-p/--passphrase用密码加密文件。默认情况下，age会自动生成一个安全的密码。在解密时会自动检测密码保护的文件。

$ age -p secrets.txt > secrets.txt.age
输入密码（留空以自动生成安全密码）：
使用自动生成的密码"release-response-step-brand-wrap-ankle-pair-unusual-sword-train"。
$ age -d secrets.txt.age > secrets.txt
输入密码：

密码保护的密钥文件

如果传递给-i的身份文件是密码加密的age文件，它将被自动解密。

$ age-keygen | age -p > key.age
公钥：age1yhm4gctwfmrpz87tdslm550wrx6m79y9f2hdzt0lndjnehwj0ukqrjpyx5
输入密码（留空以自动生成安全密码）：
使用自动生成的密码"hip-roast-boring-snake-mention-east-wasp-honey-input-actress"。
$ age -r age1yhm4gctwfmrpz87tdslm550wrx6m79y9f2hdzt0lndjnehwj0ukqrjpyx5 secrets.txt > secrets.txt.age
$ age -d -i key.age secrets.txt.age > secrets.txt
输入身份文件"key.age"的密码：

对于大多数用例，密码保护的身份文件并不必要，因为访问加密的身份文件意味着可以访问整个系统。但是，如果身份文件存储在远程，它们可能会有用。

SSH密钥

作为一个便利功能，age还支持加密到ssh-rsa和ssh-ed25519 SSH公钥，并使用相应的私钥文件解密。（不支持ssh-agent。）

$ age -R ~/.ssh/id_ed25519.pub example.jpg > example.jpg.age
$ age -d -i ~/.ssh/id_ed25519 example.jpg.age > example.jpg

请注意，SSH密钥支持使用更复杂的加密技术，并在加密文件中嵌入公钥标签，使得可以跟踪加密到特定公钥的文件。

加密到GitHub用户

结合SSH密钥支持和-R，您可以轻松地将文件加密到GitHub个人资料上列出的SSH密钥。

$ curl https://github.com/benjojo.keys | age -R - example.jpg > example.jpg.age

请记住，人们可能不会长期保护SSH密钥，因为当仅用于身份验证时它们是可撤销的，而且存储在YubiKey上的SSH密钥无法用于解密文件。