KeysArk
ark CLI

ark CLI-Dokumentation

Lies und schreib deinen Ende-zu-Ende-verschlüsselten Tresor vom Terminal aus. Dein Klartext und deine Phrase bleiben lokal — nur Chiffretext verlässt jemals das Gerät.

Was ist das

ark ist der offizielle KeysArk-Befehlszeilenclient. Er bringt den Web-Tresor in dein Terminal: Einträge auflisten, nach Pfad lesen, lokale Dateien speichern, Einträge erstellen und aktualisieren. Alle Ver- und Entschlüsselungen erfolgen lokal mit deiner Wiederherstellungsphrase — der Server und das Cloud-Backend verarbeiten immer nur undurchsichtigen Chiffretext.

Installation

@keysark/cli@1.0.7
npm install -g @keysark/cli

Erfordert Node.js 18+. Installiert den Befehl ark (mit Alias keysark).

Ersteinrichtung

Zwei Schritte: dieses Gerät autorisieren, dann deine Phrase importieren.

ark login

ark login verwendet Geräte-Code-Autorisierung: das Terminal zeigt einen Link und einen Code; öffne ihn in deinem Browser, bestätige, dass der Code übereinstimmt, und genehmige. Die Berechtigung entspricht einer Browser-Sitzung — sie kann nur Chiffretext bewegen, niemals deine Phrase oder deinen Klartext.

ark import

ark import fragt nach deiner Wiederherstellungsphrase und legt ein lokales Entsperr-Passwort fest. Die Phrase wird mit einem Argon2id-abgeleiteten Schlüssel verschlüsselt und lokal gespeichert (~/.keysark) — niemals hochgeladen. Die Entsperrung bleibt bis zu 5 Minuten Inaktivität zwischengespeichert, sodass du das Passwort nicht erneut eingeben musst.

Befehlsreferenz

  • ark loginAutorisiere dieses Gerät per Geräte-Code (öffnet den Browser zur Bestätigung).
  • ark importImportiere eine Wiederherstellungsphrase und lege ein lokales Entsperr-Passwort fest.
  • ark statusZeige Anmelde- und Phrasenstatus.
  • ark infoZeige Version, Serverquelle und Konfigurationsverzeichnis.
  • ark vaultsListe alle Tresore im Konto auf und markiere, welche zu deiner Phrase passen.
  • ark lsListe alle Einträge im aktuellen Tresor auf.
  • ark get <path|id> [file]Entschlüssele einen Eintrag nach Pfad oder ID; gibt auf stdout aus oder schreibt in eine Datei, falls eine angegeben ist.
  • ark save <file> [target]Speichere eine lokale Datei (Text oder Binär; Binärdateien werden als verschlüsselter Datei-Eintrag gespeichert) in den Tresor; leitet den Zielpfad aus git origin innerhalb eines Repos ab.
  • ark sync [folder]Synchronisiere einen Tresor-Ordner per mtime in beide Richtungen mit einem lokalen Verzeichnis (die neuere Seite gewinnt). In einem git-Repo ist der Ordner optional (über origin abgeglichen); zeigt den Plan und bestätigt zuerst, unter Beibehaltung relativer Pfade.
  • ark reset-anchor [vault]Lösche den Rollback-Schutz eines Tresors. Nur verwenden, wenn du den Tresor absichtlich zurückgesetzt/wiederhergestellt hast und eine Warnung "index rollback detected" (beim Lesen) oder Sperre (beim Schreiben) erscheint; das nächste Laden verankert sich neu an der aktuellen Remote-Version.
  • ark logoutLösche die lokale Anmeldung (behält die Phrasen-Anmeldedaten).
  • ark forgetEntferne die lokal gespeicherten Phrasen-Anmeldedaten und den Entsperr-Cache.

Globale Optionen

  • --server <url>Überschreibe die Server-URL (Standard https://keysark.com).
  • --vault <id|label>Wähle einen Tresor nach ID oder Bezeichnung (Standard ist der erste, der zu deiner Phrase passt).
  • --no-browserDen Browser beim Anmelden nicht automatisch öffnen.

Häufige Beispiele

Entschlüssele einen Eintrag in eine lokale Datei:

ark get github.com/me/app/.env .env

Speichere aus einem Projektverzeichnis .env in den Tresor (Pfad aus git origin abgeleitet):

cd ~/my-project
ark save .env

Nicht-interaktive Nutzung in CI / Skripten (Phrase über eine Umgebungsvariable bereitgestellt):

export KEYSARK_MNEMONIC="word1 word2 … word12"
ark get secure/api-key > key.txt

Umgebungsvariablen

  • KEYSARK_SERVERServer-URL (entspricht --server).
  • KEYSARK_MNEMONICGib die Wiederherstellungsphrase direkt an und umgehe die lokalen Anmeldedaten — für CI / Skripte.
  • KEYSARK_HOMEKonfigurationsverzeichnis, Standard ~/.keysark.
  • KEYSARK_NO_BROWSERWenn gesetzt, öffnet die Anmeldung den Browser nicht automatisch.

Sicherheit

Deine Phrase, der abgeleitete Hauptschlüssel und der Klartext verlassen niemals dein Gerät: ark ver- und entschlüsselt lokal und sendet nur Chiffretext an Server und Cloud. Die Geräteberechtigung kann nur Chiffretext bewegen — selbst wenn sie geleakt wird, enthüllt sie nichts in deinem Tresor.