Beim Verschlüsseln von Daten auf der Kommandozeile erleichtert sich Charly mit dem schlanken Werkzeug Age das Leben.

Bei Age, gesprochen wie das “aghe” in “Spaghetti”, handelt es sich um ein schlankes Werkzeug zum unkomplizierten Ver- und Entschlüsseln von Dateien. Es ist in Go geschrieben, sowohl der Quellcode als auch vorkompilierte Binaries für verschiedene Plattformen finden sich auf Github [1]. Ich habe Age auf einem Raspberry Pi ausprobiert, aber das Tool läuft auch unter Linux auf dem PC, MacOS und Windows. Das aktuelle Release von Mitte Juni 2021 ist laut Autor “maybe actually the last v1.0.0 release candidate”.

Age kennt zwei Möglichkeiten, Dateien zu ver- und entschlüsseln. Zum einen kann ich eine Schlüsseldatei erstellen – Age nennt das ein Identity File, angelehnt an SSH-Schlüssel –, mit deren Inhalt ich die Daten chiffriere. Im Gegensatz zu SSH handelt es sich hier um ein symmetrisches Verfahren, dieselbe Datei dient also auch zum Entschlüsseln.

Zum anderen erlaubt Age, zum Chiffrieren der Daten eine Passphrase zu benutzen. Das hat den Vorteil, dass ich mir für jeden Verschlüsselungsvorgang eine neue Passphrase ausdenken kann. Eine Person, der ich vertraue und eine Passphrase verrate, kann meine Daten damit entschlüsseln – aber nur die, die ich mit genau dieser einen Passphrase verschlüsselt habe.

Sehen wir uns beide Methoden an. Als Beispiel habe ich die Datei »/etc/passwd« in mein Home-Verzeichnis kopiert und verschlüssele sie jetzt nacheinander mit beiden Methoden. Für das eine Verfahren muss ich zunächst die Schlüsseldatei generieren – das erledige ich mit Age-keygen (Abbildung 1).

Abbildung 1: Das Erzeugen einer Schlüsseldatei übernimmt Age-keygen.

Jetzt verschlüssele ich die Datei »passwd« mit dem soeben generierten Schlüssel (Listing 1, zweite Zeile). Dabei entsteht die verschlüsselte Datei »passwd.age«. Zum Entschlüsseln benutze ich das Kommando aus der letzten Zeile von Listing 1.

$ age-keygen -o age-key.txt
$ age --encrypt -i age-key.text -o passwd.age ./passwd
$ age --decrypt -i age-key.text -o passwd passwd.age

Im nächsten Schritt erledige ich dasselbe mit der Passphrase-Methode. Wieder verschlüssele ich die Datei »passwd«, wieder soll die verschlüsselte Datei »passwd.age« heißen. Nach dem entsprechenden Aufruf (Listing 2, Zeile 1) fragt Age mich nach der gewünschten Passphrase. Gebe ich keine ein, generiert das Tool selbst eine. Das Entschlüsseln klappt analog, den Parameter »–passphrase« darf ich hier aber weglassen (Zeile 4).

$ age --passphrase -o passwd.age passwd
Enter passphrase (leave empty to autogenerate a secure one):
Using the autogenerated passphrase "release-response-step-brand-wrap-ankle-pair-unusual-sword-train".
$ age --decrypt -o passwd passwd.age
Enter passphrase:

Die Sicherheit des ganzen Verfahrens steht und fällt selbstredend mit dem sorgfältigen Umgang mit dem Schlüssel respektive der Passphrase. (jlu)