KeysArk
ark CLI

Documentation de la CLI ark

Lisez et écrivez dans votre coffre chiffré de bout en bout depuis le terminal. Votre texte en clair et votre phrase restent locaux — seul le texte chiffré quitte l'appareil.

Qu'est-ce que c'est

ark est le client en ligne de commande officiel de KeysArk. Il apporte le coffre web dans votre terminal : lister les éléments, lire par chemin, enregistrer des fichiers locaux, créer et mettre à jour des entrées. Tout le chiffrement et le déchiffrement ont lieu localement avec votre phrase de récupération — le serveur et le backend cloud ne manipulent jamais que du texte chiffré opaque.

Installation

@keysark/cli@1.0.7
npm install -g @keysark/cli

Nécessite Node.js 18+. Installe la commande ark (avec l'alias keysark).

Configuration initiale

Deux étapes : autorisez cet appareil, puis importez votre phrase.

ark login

ark login utilise l'autorisation par code d'appareil : le terminal affiche un lien et un code ; ouvrez-le dans votre navigateur, vérifiez que le code correspond et approuvez. L'autorisation équivaut à une session de navigateur — elle ne peut que déplacer du texte chiffré, jamais votre phrase ni votre texte en clair.

ark import

ark import demande votre phrase de récupération et définit un mot de passe de déverrouillage local. La phrase est chiffrée avec une clé dérivée avec Argon2id et stockée localement (~/.keysark) — jamais téléversée. Le déverrouillage reste en cache jusqu'à 5 minutes d'inactivité afin que vous n'ayez pas à retaper le mot de passe.

Référence des commandes

  • ark loginAutorise cet appareil via un code d'appareil (ouvre le navigateur pour confirmer).
  • ark importImporte une phrase de récupération et définit un mot de passe de déverrouillage local.
  • ark statusAffiche l'état de la connexion et de la phrase.
  • ark infoAffiche la version, la source du serveur et le répertoire de configuration.
  • ark vaultsListe tous les coffres du compte, en signalant lesquels correspondent à votre phrase.
  • ark lsListe tous les éléments du coffre actuel.
  • ark get <path|id> [file]Déchiffre un élément par chemin ou ID ; affiche sur stdout, ou écrit dans un fichier si un nom est fourni.
  • ark save <file> [target]Enregistre un fichier local (texte ou binaire ; le binaire est stocké comme élément de fichier chiffré) dans le coffre ; déduit le chemin cible à partir de l'origin git dans un dépôt.
  • ark sync [folder]Synchronise dans les deux sens un dossier du coffre avec un répertoire local par mtime (le côté le plus récent l'emporte). Dans un dépôt git, le dossier est facultatif (déduit de l'origin) ; affiche le plan et confirme d'abord, en préservant les chemins relatifs.
  • ark reset-anchor [vault]Efface la protection anti-restauration d'un coffre. À utiliser uniquement lorsque vous avez intentionnellement réinitialisé/restauré le coffre et qu'un avertissement "index rollback detected" (lectures) ou un blocage (écritures) apparaît ; le chargement suivant se réancre sur la version distante actuelle.
  • ark logoutEfface la connexion locale (conserve l'identifiant de la phrase).
  • ark forgetSupprime l'identifiant de la phrase stocké localement et le cache de déverrouillage.

Options globales

  • --server <url>Remplace l'URL du serveur (par défaut https://keysark.com).
  • --vault <id|label>Sélectionne un coffre par ID ou par étiquette (par défaut le premier correspondant à votre phrase).
  • --no-browserNe pas ouvrir automatiquement le navigateur pendant la connexion.

Exemples courants

Déchiffrer un élément dans un fichier local :

ark get github.com/me/app/.env .env

Depuis un répertoire de projet, enregistrer .env dans le coffre (chemin déduit de l'origin git) :

cd ~/my-project
ark save .env

Utilisation non interactive en CI / scripts (phrase fournie via une variable d'environnement) :

export KEYSARK_MNEMONIC="word1 word2 … word12"
ark get secure/api-key > key.txt

Variables d'environnement

  • KEYSARK_SERVERURL du serveur (équivalent à --server).
  • KEYSARK_MNEMONICFournit la phrase de récupération directement, en contournant l'identifiant local — pour CI / scripts.
  • KEYSARK_HOMERépertoire de configuration, par défaut ~/.keysark.
  • KEYSARK_NO_BROWSERLorsqu'elle est définie, la connexion n'ouvre pas automatiquement le navigateur.

Sécurité

Votre phrase, votre clé maîtresse dérivée et votre texte en clair ne quittent jamais votre appareil : ark chiffre et déchiffre localement et n'envoie que du texte chiffré au serveur et au cloud. L'autorisation de l'appareil ne peut que déplacer du texte chiffré — même en cas de fuite, elle ne révèle rien du contenu de votre coffre.