age — Dateien einfach und modern verschlüsseln
Praxis-Guide zu age — moderne, einfache Dateiverschlüsselung mit X25519-Schlüsseln, Passphrasen und SSH-Keys als schlanke GPG-Alternative.
age ist ein bewusst einfaches, modernes Werkzeug zur Dateiverschlüsselung von Filippo Valsorda – gedacht als schlanke Alternative zu GPG, wenn du nur Dateien sicher verschlüsseln willst. Statt überladener Konfiguration arbeitest du mit kompakten X25519-Schlüsselpaaren oder einer einzigen Passphrase, optional auch mit vorhandenen SSH-Keys als Empfänger. Die beiden Kommandos age und age-keygen decken den gesamten Arbeitsablauf ab – verschlüsseln, entschlüsseln, Schlüssel erzeugen – ganz ohne Schlüsselbund-Verwaltung. Dieser Guide zeigt dir die wichtigsten Befehle für den Alltag, von der Schlüsselerzeugung bis zum verschlüsselten Backup-Archiv.
Schlüsselerzeugung
age-keygen — Erzeugt ein neues Schlüsselpaar (Ausgabe auf stdout).
age-keygenage-keygen -o <file> — Erzeugt ein Schlüsselpaar und speichert es in einer Datei.
age-keygen -o key.txtage-keygen -y <key-file> — Extrahiert den öffentlichen Schlüssel aus einer Datei mit privatem Schlüssel.
age-keygen -y key.txtVerschlüsseln mit Empfänger-Schlüsseln
age -r <public-key> -o <output> <input> — Verschlüsselt eine Datei für den öffentlichen Schlüssel eines Empfängers.
age -r age1abc123... -o secret.txt.age secret.txtage -r <key1> -r <key2> -o <output> <input> — Verschlüsselt für mehrere Empfänger.
age -r age1abc... -r age1xyz... -o secret.txt.age secret.txtage -R <recipients-file> -o <output> <input> — Verschlüsselt mit einer Datei voller öffentlicher Empfänger-Schlüssel (einer pro Zeile).
age -R team-keys.txt -o secret.txt.age secret.txtage -r <public-key> < <input> > <output> — Verschlüsselt über stdin/stdout (Piping).
tar czf - secrets/ | age -r age1abc... > secrets.tar.gz.ageVerschlüsseln mit Passphrase
age -p -o <output> <input> — Verschlüsselt mit einer Passphrase (fragt sie interaktiv ab).
age -p -o backup.tar.gz.age backup.tar.gzage -p < <input> > <output> — Passphrase-Verschlüsselung mit Piping.
cat secret.txt | age -p > secret.txt.ageEntschlüsseln
age -d -i <identity> -o <output> <input> — Entschlüsselt mit einer Identity-Datei (privater Schlüssel).
age -d -i key.txt -o secret.txt secret.txt.ageage -d -i <identity> < <input> > <output> — Entschlüsselt mit Piping.
age -d -i key.txt < secrets.tar.gz.age | tar xzf -age -d -o <output> <input> — Entschlüsselt eine passphrasen-verschlüsselte Datei (fragt die Passphrase ab).
age -d -o backup.tar.gz backup.tar.gz.ageage -d -i <key1> -i <key2> <input> — Probiert mehrere Identity-Dateien zum Entschlüsseln durch.
age -d -i personal.key -i work.key secret.txt.ageSSH-Schlüssel-Unterstützung
age -r '<ssh-public-key>' -o <output> <input> — Verschlüsselt für einen öffentlichen SSH-Schlüssel (ed25519 oder RSA).
age -r 'ssh-ed25519 AAAA...' -o secret.age secret.txtage -R ~/.ssh/authorized_keys -o <output> <input> — Verschlüsselt für alle SSH-Schlüssel in authorized_keys.
age -R ~/.ssh/authorized_keys -o secret.age secret.txtage -d -i ~/.ssh/id_ed25519 <input> — Entschlüsselt mit einem privaten SSH-Schlüssel.
age -d -i ~/.ssh/id_ed25519 secret.age > secret.txtHäufige Muster
tar czf - <dir> | age -r <key> > <output> — Erzeugt ein verschlüsseltes Archiv.
tar czf - secrets/ | age -r age1abc... > secrets.tar.gz.ageage -d -i <key> <input> | tar xzf - — Entschlüsselt ein Archiv und entpackt es.
age -d -i key.txt secrets.tar.gz.age | tar xzf -age-keygen | tee key.txt | age-keygen -y — Erzeugt einen Schlüssel und zeigt den öffentlichen Schlüssel in einem Befehl an.
age-keygen | tee key.txt | age-keygen -yecho '<secret>' | age -r <key> -a — Verschlüsselt einen Text mit ASCII-Armor (textsicher).
echo 'password123' | age -r age1abc... -aage -d -i key.txt secret.age | <command> — Entschlüsselt und leitet direkt an einen Befehl weiter.
age -d -i key.txt db-dump.sql.age | mysql -u root mydbFazit
age beweist, dass Dateiverschlüsselung nicht kompliziert sein muss: keine Schlüsselbund-Verwaltung, keine endlosen Optionen – nur kurze, klar lesbare Befehle. Bewahre deine Identity-Datei (den privaten Schlüssel) so sorgfältig auf wie ein Passwort und gib sie niemals weiter; wer sie besitzt, kann alles entschlüsseln, was für dich bestimmt war. Bei der Passphrase-Variante ist deine Verschlüsselung nur so stark wie die Passphrase selbst – wähle sie entsprechend lang und einzigartig. Für Signaturen ist age bewusst nicht zuständig: Es verschlüsselt, mehr nicht – und macht genau das gut.
Weiterführende Links
- age – GitHub-Projekt – Quellcode, Releases und Dokumentation (englisch)
- age-encryption.org – offizielle Projektseite und Format-Spezifikation (englisch)