Age - un outil de chiffrement de fichiers simple, moderne et sûr

 (github.com/FiloSottile)
19 points par GN⁺ 2024-08-06 | 2 commentaires | Partager sur WhatsApp
  • Un outil, un format et une bibliothèque Go de chiffrement de fichiers simples, modernes et sûrs
  • Se caractérise par de petites clés explicites, aucune option de configuration et une composabilité de style UNIX
  • Prend aussi en charge les jetons matériels PIV comme les YubiKeys via des plugins
    • Il existe aussi divers autres plugins : Apple Secure Enclave, TPM, FIDO, SSS, Trezor Hardware Wallet,..
  • Versions implémentées dans différents langages : Go, Rust, TypeScript, Java, WASM, Elixir, Dart, etc.
  • Binaires fournis pour Mac, Linux, FreeBSD et Windows
  • Le format est public : age-encryption.org/v1

Méthode d’installation

  • Homebrew (macOS ou Linux) : brew install age
  • MacPorts : port install age
  • Alpine Linux v3.15+ : apk add age
  • Arch Linux : pacman -S age
  • Debian 12+ (Bookworm) : apt install age
  • Debian 11 (Bullseye) : apt install age/bullseye-backports (activation des backports requise)
  • Fedora 33+ : dnf install age
  • Gentoo Linux : emerge app-crypt/age
  • NixOS / Nix : nix-env -i age
  • openSUSE Tumbleweed : zypper install age
  • Ubuntu 22.04+ : apt install age
  • Void Linux : xbps-install age
  • FreeBSD : pkg install age (security/age)
  • OpenBSD 6.7+ : pkg_add age (security/age)
  • Chocolatey (Windows) : choco install age.portable
  • Scoop (Windows) : scoop bucket add extras && scoop install age
  • pkgx : pkgx install age
  • Binaires précompilés disponibles

Utilisation

$ age-keygen -o key.txt  
Public key: age1ql3z7hjy54pw3hyww5ayyfg7zqgvc7w3j2elw8zmrj2kg5sfn9aqmcac8p  
$ tar cvz ~/data | age -r age1ql3z7hjy54pw3hyww5ayyfg7zqgvc7w3j2elw8zmrj2kg5sfn9aqmcac8p > data.tar.gz.age  
$ age --decrypt -i key.txt data.tar.gz.age > data.tar.gz

Résumé de GN⁺

  • age est un outil de chiffrement de fichiers simple et moderne, dont les points forts sont les clés explicites et l’absence d’options de configuration
  • Facile à installer sur de nombreux systèmes d’exploitation, il prend en charge plusieurs destinataires et textes chiffrés
  • Il permet aussi le chiffrement avec des clés SSH et des clés utilisateur GitHub, ce qui est pratique
  • Il fournit des preuves Sigsum afin de garantir la sécurité et la transparence des fichiers chiffrés
  • Des outils offrant des fonctions similaires incluent GnuPG et OpenSSL

À lire aussi

2 commentaires

 
seunggi 2024-08-07

Signature

Chiffrement

Divers

  • SOPS : gestion des secrets
  • dotenvx : chiffrement/déchiffrement de dot env
  • GnuPG : signature + chiffrement/déchiffrement + ...
  • OpenSSL: signature + chiffrement/déchiffrement + ...
 
GN⁺ 2024-08-06
Commentaires sur Hacker News

  • Ce serait bien qu’Age devienne un standard sur les systèmes Unix

    • J’aimerais que des outils suivant la philosophie Unix soient plus utilisés que GPG/PGP
    • Les nouveaux outils standard sont rares
    • jq est l’exemple le plus proche ces dernières années, mais ce n’est pas un standard préinstallé

  • Je suis l’auteur d’Age

    • Le projet Age a grandi de façon organique
    • C’est toujours un plaisir de voir ce que les gens construisent avec Age
    • Je suis prêt à répondre aux questions
    • Lien vers une discussion précédente
    • Fournit des ressources associées, comme une liste de projets de l’écosystème Age, les spécifications du format, la documentation de la bibliothèque Go, la page de manuel du CLI, une vaste suite de tests, une implémentation Rust, une implémentation TypeScript, un plugin YubiKey, la spécification du protocole de plugin, une interface graphique Windows, une discussion sur les propriétés d’authentification, une discussion sur l’architecture des plugins, une discussion sur un plugin post-quantique, ainsi qu’un fork de gestionnaire de mots de passe utilisant Age

  • L’utilisation d’Age, de son implémentation Rust Rage, d’agenix et de age.el a rendu le déploiement et la gestion de services auto-hébergés très faciles

    • Combiné à la praticité de NixOS, cela rend l’auto-hébergement possible
    • L’anxiété liée à la configuration d’un nouveau serveur ainsi que la perte de temps et d’opportunités empêchaient l’auto-hébergement
    • Age est excellent
    • L’analyse de l’outil de sauvegarde Restic aide à mettre en place une solution de sauvegarde

  • Il existe des outils de sauvegarde spécialisés comme Restic ou Borg, mais je veux garder les choses simples

    • Demande s’il est acceptable de chiffrer des fichiers avec Age puis de les téléverser sur un stockage cloud non fiable
    • Utilise l’approche tar > age > cloud
    • Demande s’il serait bon de signer avec Minisign
    • Proposition de l’approche tar > age > minisign > cloud

  • Demande quand arriveront une version post-quantique ou un plugin du même auteur

  • La prononciation de Age est [aɡe̞], comme GIF

  • Age remplit bien son rôle, mais comme il n’assure pas la vérification de l’intégrité/de l’authenticité, il vaut mieux l’utiliser avec un outil comme Signify

    • Fournit un lien vers Signify

  • Age offre une bien meilleure expérience que PGP/GPG

    • La gestion des options et des arguments est intuitive
    • Cela donne une meilleure compréhension du processus de chiffrement
    • La configuration de YubiKey et Passage a été facile