Linux中如何使用age进行文件加密和解密

# Linux中如何使用age进行文件加密和解密

## 引言

在当今数字时代，数据安全变得愈发重要。无论是个人隐私文件还是商业敏感数据，都需要可靠的加密工具来保护。`age` 是一个简单、现代且安全的文件加密工具，由Filippo Valsorda开发，专注于易用性和高性能。本文将详细介绍如何在Linux系统中使用`age`进行文件加密和解密。

---

## 1. age简介

### 1.1 什么是age？
`age`（Actually Good Encryption）是一个命令行工具，用于加密/解密文件或数据流。它的设计哲学是：
- **简单**：极简的API，避免复杂配置
- **安全**：基于现代加密标准（如X25519、ChaCha20-Poly1305）
- **可组合**：能与`tar`、`ssh`等工具无缝配合

### 1.2 核心特性
- 支持对称加密（密码）和非对称加密（SSH/age密钥）
- 无元数据泄露（加密后不保留密钥信息）
- 单文件静态二进制，无运行时依赖

---

## 2. 安装age

### 2.1 通过包管理器安装
大多数Linux发行版已收录`age`：
```bash
# Debian/Ubuntu
sudo apt install age

# Arch Linux
sudo pacman -S age

# Fedora
sudo dnf install age

2.2 手动安装

从GitHub releases下载预编译二进制：

wget https://github.com/FiloSottile/age/releases/download/v1.1.1/age-v1.1.1-linux-amd64.tar.gz
tar -xzf age-*.tar.gz
sudo mv age/age /usr/local/bin/

---

3. 基本使用

3.1 生成密钥对

首先生成age格式的密钥：

age-keygen -o key.txt

输出示例：

# created: 2023-10-01T00:00:00Z
# public key: age1ql3z7hjkypl3...（公钥部分）
AGE-SECRET-KEY-1GFPYYSJ...（私钥部分）

⚠️ 私钥必须严格保密！公钥可自由分发。

3.2 加密文件

使用公钥加密文件：

age -r age1ql3z7hjkypl3... -o secret.txt.age plaintext.txt

参数说明： - -r 指定接收者公钥 - -o 指定输出文件

3.3 解密文件

使用私钥解密：

age -d -i key.txt -o decrypted.txt secret.txt.age

参数说明： - -d 解密模式 - -i 指定私钥文件

---

4. 高级用法

4.1 多接收者加密

可指定多个公钥（逗号分隔）：

age -r key1.pub,key2.pub -o multi.enc file.txt

4.2 使用SSH密钥

直接使用现有SSH密钥（~/.ssh/id_ed25519）：

# 加密
age -R ~/.ssh/id_ed25519.pub -o ssh.enc file.txt

# 解密
age -d -i ~/.ssh/id_ed25519 -o out.txt ssh.enc

4.3 密码加密（对称加密）

无需密钥对，直接设置密码：

# 加密（会提示输入密码）
age -p -o pass.enc file.txt

# 解密
age -d -o out.txt pass.enc

4.4 流式加密

结合管道处理数据流：

# 加密tar归档
tar czvf - dir/ | age -r age1... > backup.tar.gz.age

# 解密并提取
age -d -i key.txt < backup.tar.gz.age | tar xzvf -

---

5. 实际应用案例

5.1 加密备份文件

#!/bin/bash
BACKUP_FILE="backup-$(date +%F).tar.gz"
age -r age1ql3... -o "${BACKUP_FILE}.age" "${BACKUP_FILE}"

5.2 安全传输文件

发送方加密：

age -r age1... -o data.enc data.csv

接收方解密：

scp user@host:data.enc .
age -d -i key.txt -o data.csv data.enc

5.3 加密环境变量

# 加密
echo "DB_PASSWORD=123456" | age -r age1... > .env.enc

# 解密并加载
export $(age -d -i key.txt .env.enc | xargs)

---

6. 安全最佳实践

1. 密钥管理：

   • 私钥存储权限设为600：

     
     chmod 600 key.txt
     

   • 考虑使用硬件安全模块（HSM）

2. 密码强度：

   • 对称加密建议使用16+字符的复杂密码
   • 可使用pwgen生成：

     
     age -p -o file.enc <(pwgen -s 32 1)
     

3. 审计验证：

   age --version  # 确认使用最新版
   

---

7. 与其他工具对比

特性	age	GPG	openssl
易用性	★★★★★	★★☆☆☆	★★★☆☆
密钥管理	极简	复杂	中等
性能	快	慢	中等
生态集成	一般	丰富	广泛

---

8. 常见问题解答

Q：如何验证age的加密安全性？
A：age使用经过审计的加密算法（X25519、ChaCha20-Poly1305），其设计文档详见age specification。

Q：加密大文件有限制吗？
A：无实际限制，测试可加密TB级文件。

Q：能否恢复丢失的私钥？
A：不能！务必备份私钥到安全位置。

---

结语

age以其简洁的设计和强大的加密能力，成为Linux下文件加密的理想选择。通过本文的介绍，您应该已经掌握： - 密钥对生成与管理 - 基础加密/解密操作 - 高级应用场景实现 - 安全最佳实践

现在就开始用age保护您的数据吧！如需进一步学习，可参考官方文档：

man age

”`